.

10 βήματα για την κυβερνο-ασφάλεια των επιχειρήσεων


Το 2020 πάνω από το 50% των μεσαίων και μεγάλων επιχειρήσεων αναμένεται να απειληθεί από κάποιας μορφής κυβερνοεπίθεση, προειδοποιεί ο ΣΕΒ και προτείνει τις 10 δράσεις που πρέπει να εφαρμόσουν οι επιχειρήσεις για να προστατευτούν από συμβάντα κυβερνοασφάλειας και τις ψηφιακές παραβιάσεις στην εποχή της 4ης Βιομηχανικής Επανάστασης. 

Η ταχεία υιοθέτηση ψηφιακών τεχνολογιών είναι σημαντικός παράγοντας προσαρμογής κάθε επιχείρησης στην 4η Βιομηχανική Επανάσταση, αναγνωρίζει ο ΣΕΒ. Όμως μαζί με την τεχνολογική προσαρμογή έρχεται και η ανάγκη διαχείρισης των αυξανόμενων κινδύνων του κυβερνοχώρου. Ένα σοβαρό περιστατικό μπορεί να διαταράξει την εύρυθμη λειτουργία, ακόμα και να θέσει σε κίνδυνο την επιβίωση της επιχείρησης. Είναι σημαντικό οι επιχειρήσεις να διαθέτουν αποτελεσματικές στρατηγικές κυβερνοασφάλειας με όλα τα οργανωτικά και τεχνολογικά μέτρα.

Οι κυβερνο-εγκληματίες εκμεταλλεύονται τα κενά ασφαλείας που παρουσιάζονται τόσο λόγω ελλιπούς κατανόησης των νέων τεχνολογιών από την επιχείρηση όσο και ελλιπούς πληροφόρησης στους εργαζόμενους-χρήστες από την επιχείρηση για τις νέες μορφές ψηφιακής παραπλάνησης. Οι κυβερνο-επιθέσεις μπορούν να πλήξουν την αξιοπιστία της επιχείρησης, να προκαλέσουν οικονομική ζημιά, να διακόψουν την παραγωγική λειτουργία, να υποκλέψουν πνευματική ιδιοκτησία, να διαρρεύσουν εμπιστευτικές πληροφορίες, να διακόψουν την πρόσβαση σε βάσεις δεδομένων, ή ακόμα και να εκβιάσουν για την «απελευθέρωση» των δεδομένων. Επίσης, μπορεί να επιφέρουν νομικούς κινδύνους λόγω ελλιπούς προστασίας προσωπικών δεδομένων (κανόνες GDPR).

Κάθε ηλεκτρονική συσκευή, εργαζόμενος, ή εξωτερικός συνεργάτης μπορεί να βρεθεί εκτεθειμένος σε «κυβερνο-κινδύνους». Όμως, λύση δεν είναι η καθυστέρηση της τεχνολογικής αναβάθμισης λόγω φόβου, αλλά μια ξεκάθαρη πολιτική ασφάλειας με συνεχή προσαρμογή του επιπέδου κυβερνοασφάλειας στα τεχνολογικά δεδομένα.

Αύξηση των κινδύνων κατά την πανδημία του κορωνοϊού 

Εν μέσω πανδημίας, οι κίνδυνοι του κυβερνοχώρου έχουν αυξηθεί κατακόρυφα. Ενώ η πανδημία επιτάχυνε την ψηφιοποίηση δημόσιων οργανισμών και επιχειρήσεων, δεν παρατηρείται ανάλογη αναβάθμιση και αναθεώρηση των συστημάτων και πολιτικών ασφαλείας. Η αποτελεσματική κυβερνοασφάλεια όμως, προϋποθέτει την επαγρύπνηση των διοικήσεων, επαρκείς προϋπολογισμούς, υλοποίηση προτεραιοποιημένων δράσεων σε επίπεδο τεχνολογίας ασφαλείας, διαδικασιών, διακυβέρνησης και ανθρώπινου δυναμικού. Πρέπει να γίνει άμεσα αντιληπτό ότι όσο γρήγορα εξελίσσονται οι τεχνικές ψηφιακών επιθέσεων, τόσο άμεσα πρέπει να επικαιροποιούνται και οι μέθοδοι προστασίας.

Ποιοι είναι οι κίνδυνοι για τις επιχειρήσεις

Οι επιθέσεις εστιάζουν κυρίως σε τρεις κατηγορίες επιχειρήσεων: Στις βιομηχανικές επιχειρήσεις, στις μεσαίες και μεγάλες επιχειρήσεις ανεξαρτήτως κλάδου, και στις επιχειρήσεις με σημαντικό όγκο εμπιστευτικών πληροφοριών. Οι μικρότερες επιχειρήσεις αντιμετωπίζουν γενικά λιγότερες επιθέσεις, χωρίς αυτό να σημαίνει πως δεν πρέπει να λαμβάνουν μέτρα προστασίας. Ειδικότερα: 

  • Ο κλάδος της βιομηχανίας αντιμετωπίζει αυξανόμενες απειλές στην εποχή της 4ης Βιομηχανικής επανάστασης. Σε ευρωπαϊκό επίπεδο, το 2018 4 στις 10 βιομηχανικές επιχειρήσεις επηρεάστηκαν από σοβαρό συμβάν ασφάλειας, τα περιστατικά εκβιασμών αυξήθηκαν 3500%, η ψηφιακή απάτη κατά 250%. Η μέση οικονομική ζημιά ανήλθε σε €330.000 ανά περιστατικό ενώ η αντίστοιχη μέση ζημιά από παραβίαση οικονομικών και εμπιστευτικών δεδομένων ήταν €7,5 εκατ. Σημειώνεται πως τα νούμερα παρουσιάζουν ισχυρά αυξητική τάση το 2019, ενώ η πανδημία αναμένεται να τα αυξήσει περισσότερο. 
  • Οι μεσαίες και μεγάλες επιχειρήσεις υιοθετούν εκτενώς νέες ψηφιακές τεχνολογίες και βιώνουν ψηφιακές παραβιάσεις ιδιαίτερης σοβαρότητας. Την περίοδο 2014-2019, οι παραβιάσεις αυξήθηκαν κατά 67%, με αποτέλεσμα το 2019, το 40% των επιχειρήσεων να βιώσει ψηφιακές παραβιάσεις, με αυξημένο κόστος και χρόνο αποκατάστασης. Το μέσο κόστος αποκατάστασης μαζί με τη μέση επίπτωση στην καθημερινή λειτουργία υπολογίζεται σε €13 εκατ. ανά παραβίαση. Η ζημιά αυτή παρουσιάζει σημαντική αυξητική τάση κατά 72% την τελευταία πενταετία. Το 2020 πάνω από το 50% των μεσαίων και μεγάλων επιχειρήσεων αναμένεται να απειληθεί από κάποιας μορφής κυβερνοεπίθεση.
  • Για επιχειρήσεις με σημαντικό όγκο εμπιστευτικών πληροφοριών (όπως η πνευματική ιδιοκτησία), είναι ιδιαίτερα κρίσιμη η επαρκής προστασία. Σε πρόσφατη ανάλυση, το μέσο κόστος αποκατάστασης (τεχνική και λειτουργική) από κυβερνοεπίθεση ανέρχεται σε €3,9 εκατ. ανά παραβίαση, ενώ το μέσο χρονικό διάστημα για τον εντοπισμό και περιορισμό του περιστατικού φτάνει τις 280 ημέρες. Στην ίδια ανάλυση αναδεικνύονται και οι συνέπειες της πανδημίας, καθώς 3 στις 4 επιχειρήσεις αναμένουν σημαντική αύξηση του χρόνου εντοπισμού και αποκατάστασης τέτοιων περιστατικών, κυρίως λόγω της δυσκολίας ψηφιακής προστασίας σε περιπτώσεις απομακρυσμένης εργασίας.
Είναι εμφανές ότι η εξέλιξη των τεχνικών των κυβερνοεπιθέσεων συμβαδίζει με την εξέλιξη της τεχνολογίας. Οι οργανισμοί πρέπει να υιοθετήσουν την αντίληψη ότι σε μεσοπρόθεσμο χρονικό ορίζοντα η ασφάλειά τους θα αντιμετωπίσει σημαντικές ψηφιακές προκλήσεις. Για το λόγο αυτό απαιτείται η έγκαιρη προετοιμασία για την άμεση και αποτελεσματική διαχείριση κακόβουλών περιστατικών, ελαχιστοποίηση των οικονομικών επιπτώσεων και επαναφορά των επιχειρησιακών λειτουργιών το συντομότερο δυνατό. Κατά συνέπεια, οι επιχειρήσεις οφείλουν να μεριμνήσουν, ώστε να πορευθούν στη νέα ψηφιακή με ένα συνεκτικό και ισχυρό σχέδιο κυβερνοασφάλειας, που να καλύπτει όλα τα επίπεδα και στάδια λειτουργίας τους. 

Το Παρατηρητήριο Ψηφιακού Μετασχηματισμού του ΣΕΒ για την κυβερνοασφάλεια 

Το Παρατηρητήριο Ψηφιακού Μετασχηματισμού του ΣΕΒ με τη συνεργασία της Deloitte, προτείνει ένα πλέγμα 35 καλών πρακτικών κυβερνοασφάλειας. Επιπλέον, περιέχει έναν οδικό χάρτη προετοιμασίας για την αντιμετώπιση ψηφιακών επιθέσεων, ώστε οι επιχειρήσεις να αναβαθμίσουν την ασφάλειά τους μέσα από την απάντησή τους σε 10 κρίσιμα ερωτήματα: 

Επίγνωση: περιλαμβάνει την κατανόηση και αξιολόγηση του κινδύνου και τις απαραίτητες δομές και πόρους ψηφιακής προστασίας

1. Ποιος έχει τη θέση του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO); Έχει η θέση επαρκείς διοικητικές αρμοδιότητες για το σχεδιασμό και εποπτεία της κυβερνοασφάλειας;

2. Διατίθεται επαρκής προϋπολογισμός και ανθρώπινοι πόροι για θέματα κυβερνο-προστασίας;

Προστασία: λειτουργίες και συστήματα που προστατεύονται με καλές πρακτικές και δικλείδες ασφαλείας

3. Ποιες διαδικασίες της επιχείρησης βασίζονται καταλυτικά σε ψηφιακά συστήματα και πως επηρεάζεται η καθημερινή λειτουργία της επιχείρησης από προβλήματα στα συστήματα αυτά;

4. Ποια είναι τα κρίσιμα προϊόντα / υπηρεσίες / πληροφορίες / γραμμές παραγωγής / ΤΠΕ που χρήζουν προστασίας;

5. Ποιοι είναι οι νέοι κίνδυνοι που αναπτύσσονται στον κυβερνοχώρο για τις κρίσιμες διαδικασίες και συστήματα της επιχείρησης;

6. Ποιο είναι το υφιστάμενο και ποιο το επιθυμητό επίπεδο κυβερνοασφάλειας στις διαδικασίες και στα συστήματα της επιχείρησης;

Ανθεκτικότητα: με αρχιτεκτονική ψηφιακής ασφάλειας και συνεχείς προληπτικούς ελέγχους 

7. Ποια πρότυπα ασφαλείας πρέπει να χρησιμοποιήσει η επιχείρηση;

8. Ποιες είναι οι προτεραιότητες για την κυβερνοπροστασία της επιχείρησης, με μεσοπρόθεσμο (1 έτος) και μακροπρόθεσμο ορίζοντα (5 έτη);

9. Πως υιοθετείται μια κουλτούρα ασφαλούς χρήσης ψηφιακών συστημάτων από όλους τους εργαζόμενους;

10. Κάθε πότε γίνονται δοκιμές ανθεκτικότητας της προστασίας και κάθε πότε επικαιροποιείται η στρατηγική;

Οι απαντήσεις κάθε επιχείρησης στις παραπάνω ερωτήσεις θα τη βοηθήσουν να αποτρέψει σημαντικούς κινδύνους κυβερνοασφάλειας, εφόσον στο επόμενο στάδιο συνοδεύονται και από την εφαρμογή ενός αντίστοιχου σχεδίου, προσαρμοσμένου στις ανάγκες της. Μια τέτοια προσέγγιση, πέρα από αυξημένο επίπεδο ασφάλειας κατά τη λειτουργία της επιχείρησης, προσφέρει και ένα σημαντικό ανταγωνιστικό πλεονέκτημα, τόσο μέσω της διασφάλισης της εμπιστοσύνης μετόχων και πελατών στη διοίκηση της επιχείρησης, όσο και μέσα από τη μεγιστοποίηση του οφέλους των τεχνολογιών της 4ης Βιομηχανικής Επανάστασης. 

Τα 10 βήματα για ένα ολιστικό σχέδιο κυβερνοασφάλειας

Η επιχείρηση πρέπει να λάβει υπόψη τις ευκαιρίες, αλλά και τους κινδύνους που ενδέχεται να προκύψουν από την υιοθέτηση disruptive τεχνολογιών. Στα πλαίσια αυτά, αφενός πρέπει να σταθμίσει τις ανάγκες υιοθέτησης καινοτομιών που είναι απαραίτητες για την ανάπτυξή της και αφετέρου να προσδιορίσει τις ανάγκες προστασίας που θα προκύψουν, τόσο από τις υπάρχουσες, όσο και τις επερχόμενες απειλές. Επομένως, χρειάζεται να καταρτίσει ένα ολιστικό σχέδιο κυβερνοασφάλειας, ακολουθώντας τα εξής βασικά βήματα:

1. Κατανομή ρόλων και δημιουργία ομάδας για την κατάρτιση του σχεδίου. Αρχικά, η επιχείρηση πρέπει να θεσπίσει τη θέση του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO), ο οποίος αποτελεί μέλος της Διοίκησης, αλλά και σύμβουλο της Εκτελεστικής Διοίκησης σε θέματα τεχνολογίας και ασφάλειας πληροφοριών και δεδομένων. Ακολούθως, σχηματίζεται μια ομάδα η οποία θα αναλάβει το σχεδιασμό και εποπτεία του πλάνου κυβερνοασφάλειας της επιχείρησης, με τη συμμετοχή της Εκτελεστικής Διοίκησης (C-Suite), του Υπεύθυνου Ασφάλειας Πληροφοριών και στελεχών του τμήματος ΙΤ (π.χ. Υπεύθυνος Ασφάλειας Πληροφοριακών Συστημάτων (ΙΤ Security Officer)). Τέλος, δημιουργείται το τμήμα κυβερνοασφάλειας, το οποίο ο CISO στελεχώνει με τις κατάλληλες δεξιότητες. 

2. Εξέταση του μοντέλου λειτουργίας. Η ομάδα σχεδιασμού ξεκινάει την κατάρτιση του πλάνου κυβερνοασφάλειας με την καταγραφή και κατανόηση του τρόπου με τον οποίο λειτουργεί η επιχείρηση, των διαδικασιών που χρησιμοποιεί και των στόχων που έχουν τεθεί. 

3. Αξιολόγηση του υφιστάμενου επιπέδου κυβερνοασφάλειας. Για κάθε μια από τις διαδικασίες που καταγράφονται στο προηγούμενο βήμα, προσδιορίζεται ο βαθμός προστασίας τους από επιθέσεις και επομένως η ωριμότητα του τωρινού επιπέδου κυβερνοασφάλειας της επιχείρησης. Με τον τρόπο αυτό, εντοπίζονται πιθανά κενά (breaches) στην ασφάλεια του οργανισμού, και γενικότερα τομείς για βελτίωση του επιπέδου προστασίας.Το βήμα αυτό, μπορεί να υλοποιηθεί είτε ενδοεπιχειρησιακά, είτε από εξωτερικούς εξειδικευμένους συμβούλους.

4. Διερεύνηση και αξιολόγηση των υφιστάμενων και αναπτυσσόμενων κινδύνων και απειλών στον κυβερνοχώρο. Απαραίτητη προϋπόθεση κατάρτισης της στρατηγικής για μια αποτελεσματική κυβερνοασφάλεια, αποτελεί η εξέταση του εξωτερικού περιβάλλοντος, με τον εντοπισμό των απειλών στον κυβερνοχώρο και των συνεπειών που ενδέχεται να έχουν στην επιχείρηση. Για να αποτυπωθεί σωστά ο χάρτης με τις πηγές προέλευσης και τη φύση των κινδύνων και απειλών, πρέπει να διερευνηθεί προσεκτικά το περιβάλλον στο οποίο λειτουργεί η επιχείρηση. Ενδεικτικά, να καταγραφούν / προσδιοριστούν: οι πελάτες, οι προμηθευτές, διάφοροι τρίτοι με τους οποίους έχουν καταρτιστεί συνεργασίες, οι κυριότεροι ανταγωνιστές, οι απειλές που αντιμετωπίζουν οι ανταγωνιστές ή τους έχουν επηρεάσει στο παρελθόν, ποιοι θα μπορούσαν να επωφεληθούν από μια επίθεση στα συστήματα της επιχείρησης και τη διακοπή της λειτουργίας της, οι μέθοδοι που χρησιμοποιούν κυρίως οι επιτιθέμενοι, τα κίνητρά τους, κ.λπ.

5. Προσδιορισμός των αγαθών στρατηγικής σημασίας που πρέπει να προστατευθούν. Η ομάδα κυβερνοπροστασίας καθορίζει ποια είναι τα σημαντικότερα αγαθά (assets) της επιχείρησης που είναι περισσότερο έκθετα σε κυβερνοεπιθέσεις, ή επιθέσεις εκ των έσω, και επομένως προκύπτουν ανάγκες προστασίας τους. Τα αγαθά είναι: διαδικασίες, πληροφοριακά συστήματα, συσκευές, τεχνολογικός & μηχανολογικός εξοπλισμός, ανθρώπινο δυναμικό που εργάζεται σε ενδεχομένως στοχοποιημένες θέσεις ευθύνης, πληροφορίες και δεδομένα. 

6. Ανάπτυξη πλαισίου και προτύπων διαχείρισης της κυβερνοασφάλειας. Πριν την κατάρτιση του στρατηγικού σχεδίου, η ομάδα κυβερνοπροστασίας καθορίζει το υποστηρικτικό πλαίσιο διαχείρισης της κυβερνοασφάλειας που θα χρησιμοποιηθεί. Πρόκειται για τις μεθοδολογίες και πρότυπα που χρησιμοποιούνται για την αξιολόγηση της ανθεκτικότητας ενός οργανισμού σε θέματα κυβερνοασφάλειας και τη διαχείριση των κινδύνων που προκύπτουν. Τα πιο γνωστά πρότυπα που εφαρμόζονται διεθνώς είναι τα ISO 2700x, NIST και IRAM2.

7. Κατάρτιση στρατηγικής κυβερνοασφάλειας. Μετά τη χαρτογράφηση του εσωτερικού και εξωτερικού περιβάλλοντος και την επιλογή του πλαισίου διαχείρισης, καταρτίζεται η στρατηγική κυβερνοασφάλειας, με τη συμμετοχή της Διοίκησης, σε συμφωνία όμως με τη γενικότερη επιχειρησιακή στρατηγική και το μοντέλο λειτουργίας της επιχείρησης. Λαμβάνεται υπόψη το υφιστάμενο επίπεδο ωριμότητας της ασφάλειας, αλλά και το επίπεδο που θέλει να φτάσει η επιχείρηση. Προτείνεται η κατάρτιση στρατηγικής με δύο χρονικούς ορίζοντες: μεσοπρόθεσμα (1 έτος) και μακροπρόθεσμα (5 έτη). Περιέχονται: διαδικασίες, πόροι, τεχνολογίες, στόχος (σε ποιο επίπεδο κυβερνοασφάλειας επιθυμεί η επιχείρηση να φτάσει), προϋπολογισμός.

8. Υιοθέτηση κουλτούρας κυβερνοασφάλειας. Η ομάδα σχεδιασμού κυβερνοπροστασίας, στα πλαίσια της εφαρμογής της στρατηγικής, αναλαμβάνει την υλοποίηση προγραμμάτων ευαισθητοποίησης, ώστε όλα τα επίπεδα της επιχείρησης να είναι ενήμερα σε θέματα κυβερνοπροστασίας και σε ετοιμότητα. Π.χ. πρόγραμμα εκπαίδευσης του προσωπικού, υιοθέτηση ρόλων και αρμοδιοτήτων σε κάθε τμήμα. 

9. Ανάπτυξη και εφαρμογή σχεδίου ανθεκτικότητας. Το σχέδιο ανθεκτικότητας περιλαμβάνει συστηματικές δοκιμές σε ελεγχόμενο περιβάλλον, για να αξιολογείται η αποτελεσματικότητα των συστημάτων ασφάλειας και να βελτιώνεται συνεχώς το επίπεδο προστασίας. Περιλαμβάνει: σχεδιασμό σεναρίων για επιθέσεις που ενδέχεται να συμβούν και ενεργειών αντιμετώπισής τους, δοκιμαστικά σχέδια αντιμετώπισης περιστατικών, π.χ. προσομοίωση περιστατικών ασφάλειας (war gaming), προσομοίωση ρεαλιστικών επιθέσεων από ανεξάρτητη εταιρεία, χωρίς τη γνώση της ομάδας αντιμετώπισης (red teaming). Κατά τη διεξαγωγή των προσομοιώσεων, συμμετέχουν τα μέλη της ομάδας κυβερνοασφάλειας που ασχολούνται με τη διαχείριση κρίσεων.

10. Περιοδικός έλεγχος. Το σχέδιο ανθεκτικότητας πρέπει να ελέγχεται και να επικαιροποιείται τουλάχιστον μια φορά το χρόνο, ώστε να διαπιστώνεται ο βαθμός αποτελεσματικής λειτουργίας του. Λαμβάνονται υπόψη τόσο οι αλλαγές στο περιβάλλον της επιχείρησης, όσο και νέοι κίνδυνοι ή απειλές που ενδέχεται να έχουν προκύψει.

Ετικέτες
[blogger]

Author Name

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.