Ελλιπής κουλτούρα ασφάλειας στους οργανισμούς

Συνέντευξη στο περιοδικό "Ασφαλιστικό Marketing": του Γιώργου Σωτηρόπουλου, Senior Manager, Consulting

Συνέντευξη στο περιοδικό "Ασφαλιστικό Marketing": του Γιώργου Σωτηρόπουλου, Senior Manager

  • Ποιο είναι το εύρος των υπηρεσιών που παρέχετε στη διαχείριση του διαδικτυακού ρίσκου; Που ξεκινάει και που τελειώνει ο ρόλος σας;

Η διαχείριση του διαδικτυακού ρίσκου και γενικότερα η κυβερνοασφάλεια, είναι ένα συνεχές ταξίδι αντιμετώπισης των ολοένα αυξανόμενων και μεταβαλλόμενων απειλών, τους οποίους καλούνται να αντιμετωπίσουν οι πελάτες μας. Στην KPMG πιστεύουμε ακράδαντα στην πολυδιάστατη προσέγγιση της κυβερνοασφάλειας και παρέχουμε το ρόλο του συμβούλου/καθοδηγητή των οργανισμών στο ταξίδι αυτό.  

Συνεπώς, παρέχουμε στις επιχειρήσεις ένα σύνολο υπηρεσιών κυβερνοασφάλειας χωρισμένες σε 5 διακριτούς τομείς: 

  • Αξιολόγηση & Προγραμματισμός: Αξιολόγηση της κυβερνοασφάλειας σε σχέση με  το τρέχον επίπεδο ωριμότητας, τους κινδύνους, τις αποκλίσεις με διεθνή πρότυπα και επιχειρηματικούς στόχους. Εκπόνηση και προγραμματισμός ενός πλάνου ενεργειών για την επίτευξη ενός επιθυμητού μοντέλου λειτουργίας και ωριμότητας της κυβερνοασφάλειας. 
  • Σχεδιασμός: Στρατηγικής και Διακυβέρνησης, Αρχιτεκτονικής και Λειτουργιών, Τεχνολογικού Πλαισίου και Εκπαίδευσης
  • Παρακολούθηση: Δημιουργία διακριτών δεικτών απόδοσης (KPIs) για την παρακολούθηση όλων των στόχων του σχεδιασμού και της υλοποίησης του Πλάνου Ενεργειών
  • Υποστήριξη: Υπηρεσίες τύπου CISO Support and as a Service
  • Απόκριση: Παρέχουμε υπηρεσίες απόκρισης σε συμβάντα κυβερνοασφάλειας καθώς και δικανικής έρευνας. 

Σύμφωνα με τα παραπάνω, έχουμε τη δυνατότητα να είμαστε δίπλα στους πελάτες και να τους υποστηρίζουμε στην καθημερινότητας για τη θωράκιση της επιχείρησης τους, αναπτύσσοντας τόσο τις γνώσεις τους όσο και τα εργαλεία και τις υποδομές τους  για τη διαχείριση των κινδύνων του διαδικτύου.  

  • Έχει καλλιεργηθεί κουλτούρα διαδικτυακής ασφάλειας στις επιχειρήσεις στην Ελλάδα; Προστατεύουν τη λειτουργία τους οι επιχειρήσεις ή αναζητούν βοήθεια όταν έχει επέλθει ο κίνδυνος;

Οι επιχειρήσεις σήμερα, ολοένα και περισσότερο, συνειδητοποιούν ότι η κυβερνοασφάλεια δεν είναι απλά ένα αναγκαίο κακό για να τους προστατέψει από επικείμενες απειλές. Η ασφάλεια πληροφοριών και η κυβερνοασφάλεια αποτελούν έναν από τους πιο κρίσιμους παράγοντες επιτυχίας του στρατηγικού επιχειρησιακού σχεδιασμού αλλά και της αντιμετώπισης των επιχειρηματικών και ανταγωνιστικών προκλήσεων ενός οργανισμού. Η συμπερίληψη της κυβερνοασφάλειας όσο το δυνατόν νωρίτερα στο στρατηγικό σχεδιασμό μιας επιχείρησης, λειτουργεί ως καταλύτης στην επίτευξη ξεκάθαρων ανταγωνιστικών πλεονεκτημάτων που στο πρόσφατο παρελθόν ήταν ανέφικτα. Κλασσικό παράδειγμα είναι η διαδικασία δημιουργίας προσωπικού η επαγγελματικού λογαριασμού στις Τράπεζες χωρίς τη φυσική παρουσία σε κατάστημα. To digital onboarding δεν υπήρχε σαν έννοια πριν 5 χρόνια στην ελληνική αγορά και δεν θα υφίστατο σήμερα χωρίς τις διασφαλίσεις που παρέχουν οι μηχανισμοί κυβερνοασφάλειας. 

Δυστυχώς υπάρχει και η άλλη όψη του νομίσματος, ήτοι η ανεπαρκής αξιολόγηση του αντικτύπου από τις ολοένα και αυξανόμενες απειλές/κινδύνους. Είναι λοιπόν αρκετές ακόμα οι επιχειρήσεις που δεν επενδύουν στην κυβερνοασφάλεια μέχρι να επέλθει ο κίνδυνος, και ακόμα χειρότερα επενδύουν λανθασμένα ή ελλιπώς μετά τις ενέργειες αντιμετώπισης του συμβάντος.

  • Ποια είναι τα πιο δύσκολα περιστατικά που έχετε αντιμετωπίσει;

Δεν  μπορούμε να μιλήσουμε για συγκεκριμένα περιστατικά όμως επί των πλείστων καλούμαστε να αντιμετωπίσουμε συνήθεις περιπτώσεις malware/ransomware που έχουν προκύψει από διαφόρους τύπους επιθέσεων κοινωνικής μηχανικής. Αυτό που καθιστά δύσκολη την αντιμετώπισή τους είναι και αυτό που προαναφέραμε, η ελλιπής κουλτούρα ασφάλειας στους οργανισμούς, με συνέπεια την ευρεία εξάπλωση του προβλήματος και κατά συνέπια τη δυσχερή αντιμετώπισή του. 

  • Πόσο έχει αλλάξει ο κίνδυνος στην περίοδο της πανδημίας;

Καθώς ένας μεγάλος αριθμός επιχειρήσεων εφαρμόζουν πρακτικές απομακρυσμένης πρόσβασης κατά τη διάρκεια της πανδημίας, η προστασία των επιχειρηματικών, οικονομικών και προσωπικών δεδομένων έχει γίνει όλο και πιο συχνό θέμα συζήτησης για τις επιχειρήσεις και τους ανθρώπους. Όπως είναι κατανοητό ο κίνδυνος έχει αυξηθεί σημαντικά λόγω της αλλαγής αυτού που ορίζουμε ως attack surface. Μιλώντας για απομακρυσμένη πρόσβαση μη θεωρήσουμε ότι αναφερόμαστε στην τηλε-εργασία. Μελέτες δείχνουν ότι η χρήση e-banking / mobile banking, οι ηλεκτρονικές πληρωμές και οι online παραγγελίες, μεταξύ άλλων,  έχουν αυξηθεί κατά 400% και κατά περιπτώσεις ακόμα περισσότερο.

Όσο λοιπόν και να είναι επιθυμητή η αξιοποίηση των νέων δυνατοτήτων που μας προσφέρει η τεχνολογία, τόσο επικίνδυνη γίνεται όταν η μετάβαση γίνεται βίαια, βιαστικά και με ελλιπή σχεδιασμό. Η KPMG παρέχει όλες τις προαναφερθείσες υπηρεσίες οι οποίες μπορούν να αμβλύνουν/μετριάσουν τον κίνδυνο και τις επιπτώσεις σε ανθρώπους και επιχειρήσεις. Αδιαμφησβήτητα όμως ο κοινός παρονομαστής και ο ακρογωνιαίος λίθος της άμυνας είναι ο τελικός χρήστης. Οι επιχειρήσεις που παρέχουν την οποιαδήποτε υπηρεσία «απομακρυσμένης πρόσβασης» οφείλουν να ενημερώνουν τους χρήστες τους για τους κινδύνους και οι χρήστες με τη σειρά τους να γνωρίζουν πως να προστατευθούν. 

  • Έχουν προτιμήσεις οι Hackers;

Οι Hackers έχουν σίγουρα προτιμήσεις. Αν εξαιρέσουμε τις περιπτώσεις των επιθέσεων για τη φήμη (Hacking for Fame) και του κυβερνοπολέμου (cyber warfare), το 90% των επιθέσεων έχουν στόχο το «γρήγορο και εύκολο» χρήμα. Αν αναλογιστούμε ότι η παραοικονομία των κυβερνοεπιθέσεων που αφορά το ransomware το 2020 ξεπέρασε τα 2 δις δολάρια και ο ευρύτερος αντίκτυπος στις επιχειρήσεις τα 15δις, τότε καταλαβαίνουμε ότι δε μιλάμε για μεμονωμένα άτομα, αλλά για άρτια οργανωμένες ομάδες. Στόχος τους είναι να βρουν τον αδύναμο κρίκο και να τον εκμεταλλευτούν όσο το δυνατόν γρηγορότερα και αποδοτικότερα. Άρα, σε αντίθεση με την κοινή πεποίθηση ότι οι Hackers θα επιτεθούν σε στόχους «υψηλής αξίας», θα προτιμήσουν αρχικά στόχους με μειωμένα μέτρα ασφάλειας για να αυξήσουν τα ποσοστά επιτυχίας τους.

Όπως γίνεται αντιληπτό, παρόλο που οι Hackers θα προσπαθήσουν να αναγνωρίσουν το περιβάλλον πριν επιτεθούν (footprinting), είναι πολλές οι περιπτώσεις που η προσπάθεια θα προβεί άκαρπη. Αποτέλεσμα του παραπάνω είναι να παρατηρούμε ομαδικές αποστολές phishing / smishing μηνυμάτων προς έναν ή περισσότερους οργανισμούς, σε μια προσπάθεια να υπάρξει διασπορά της επίθεσης προς πολλαπλούς αποδέκτες/τελικούς χρήστες. Αρκεί ένας από τους αποδέκτες να αποκαλύψει τους κωδικούς / στοιχεία του ώστε οι επιτιθέμενοι να αποκτήσουν τις πληροφορίες που χρειάζονται.