Παρασκευή 20 Οκτωβρίου 2017,

Πως να προστατευθείτε από τις κυβερνοεπιθέσεις

Τι μας «διδάσκουν» 4 case studies.

Η ανάπτυξη των ηλεκτρονικών συστημάτων αποτελεί ένα σημαντικό εργαλείο για τη λειτουργία και την εξέλιξη των επιχειρήσεων. Ωστόσο, η εξάρτηση του σύγχρονου επιχειρείν από τα ηλεκτρονικά συστήματα και η ευρεία διάδοση του διαδικτύου έχουν δημιουργήσει νέες απειλές. Με σημαντικές οικονομικές επιπτώσεις στην επιχείρηση.

Για πολλούς οργανισμούς, οι τελευταίες εβδομάδες έφεραν στην επιφάνεια μια νέα πραγματικότητα. Αναφερόμαστε, ασφαλώς, στην πρόσφατη επίθεση στον κυβερνοχώρο με το »Wannacry». Ένα σαφές μήνυμα που πήραμε με το »Wannacry», καθώς κοιτάζουμε πλέον να αποτρέψουμε μια επόμενη «πανδημία» στον κυβερνοχώρο, είναι το πόσο ευάλωτες μπορεί να είναι οι επιχειρήσεις σε σχέση με αυτό που νομίζαμε στο παρελθόν. Μεγαλύτερη διασύνδεση και πολυπλοκότητα ανάμεσα στα δίκτυα πληροφορικής αυξάνει τον κίνδυνο δυσλειτουργίας, αλλά και γρήγορης διάδοσης. Η ασφάλεια της πληροφορίας -Εμπιστευτικότητα (Confidentiality), Ακεραιότητα (Integrity), Διαθεσιμότητα (Availability)- είναι πιο ευάλωτη από ποτέ, τόσο από μια κακόβουλη επίθεση όσο και από ένα τυχαίο γεγονός.

Είναι αντιληπτό ότι η επίτευξη των στόχων μιας επιχείρησης σε μεγάλο βαθμό εξαρτάται από τη διασφάλιση της λειτουργίας των υποδομών τεχνολογίας. Ενώ όλες οι επιχειρήσεις είναι εκτεθειμένες στις νέες μορφές κινδύνων που πηγάζουν από τη χρήση των τεχνολογιών πληροφορικής, ελάχιστες έχουν προσπαθήσει να αποτιμήσουν τον κίνδυνο και τις οικονομικές επιπτώσεις μιας απειλής από τον κυβερνοχώρο.

Η επίτευξη της ασφάλειας των πληροφοριακών συστημάτων και η ορθή και έγκαιρη αντιμετώπιση των ηλεκτρονικών και διαδικτυακών κινδύνων απαιτεί τη συνεργασία όλων των στελεχών της επιχείρησης. Δεν αρκεί μόνο να εντοπίσει κανείς τα τεχνικά θέματα, οι επιχειρήσεις θα πρέπει να εξετάσουν με βάση τα πρόσφατα «μαθήματα» του »Wannacry».

Το ΠΡΏΤΟ ΒΉΜΑ για την κάθε επιχείρηση είναι η καταγραφή των βασικότερων απειλών, κακόβουλων ή μη, εσωτερικών -όπως όταν προέρχονται από το ίδιο το προσωπικό της επιχείρησης, από κλοπή ή απώλεια εγγράφων και εταιρικών ηλεκτρονικών συσκευών- ή εξωτερικών, από κακόβουλο λογισμικό μέσω Phishing, προμήθεια αναλωσίμων που έχουν μολυνθεί από ιούς, αστοχία συστημάτων ασφαλείας προμηθευτών κ.λπ. Στη συνέχεια, είναι απαραίτητος ο καθορισμός των κινδύνων που χρειάζεται να τεθούν σε προτεραιότητα.

Το ΕΠΌΜΕΝΟ ΒΉΜΑ αφορά στον υπολογισμό της πιθανότητας και συχνότητας να συμβούν οι κίνδυνοι που έχουν εντοπιστεί, αλλά και των οικονομικών επιπτώσεων στην επιχείρηση, σε απώλεια πωλήσεων, πρόσθετα νομικά έξοδα και έξοδα ειδικών ΙΤ συμβούλων για την αντιμετώπιση του γεγονότος, πρόστιμα λόγω του νέου Ευρωπαϊκού Κανονισμού Προστασίας Δεδομένων (GDPR, πτώση της μετοχής).

Όταν ολοκληρωθεί η ανάλυση του κινδύνου και εντοπιστούν τα σημεία στις εταιρικές διαδικασίες ή στα συστήματα που μπορεί να επιτρέψουν να συμβεί μια παραβίαση, και υπολογιστούν οι οικονομικές συνέπειες, τότε η κάθε επιχείρηση με τη βοήθεια ειδι- κών συμβούλων θα είναι σε θέση:

– Να υλοποιήσει διαδικασίες ελέγχου και πλάνα επιχειρηματικής συνέχισης, με σκοπό να περιορίσει τις επιπτώσεις ενός γεγονότος παραβίασης.

– Να σχεδιάσει και να εφαρμόσει τα απαραίτητα μέτρα που θα τη βοηθήσουν στον πιο άμεσο και γρήγορο εντοπισμό μια κακόβουλης επίθεσης.

– Να θέσει σε εφαρμογή τους πλέον κατάλληλους τρόπους αποκατάστασης των χαμένων δεδομένων και περιορισμού της δυσλειτουργίας των συστημάτων της.

– Να αποφασίσει να μεταφέρει μέρος των κινδύνων της σε τρίτους, συνάπτοντας ασφαλιστικές συμβάσεις προσαρμοσμένες στις ανάγκες της

Είναι γεγονός ότι τα στελέχη των επιχειρήσεων πρέπει να συνειδητοποιήσουν ότι μπορεί πολύ γρήγορα να βρεθούν αντιμέτωπα με ένα γεγονός παραβίασης. Επομένως, είναι σημαντικό να έχουν μεριμνήσει ώστε να έχουν τον κατάλληλο συνεργάτη δίπλα τους, ο οποίος θα τους βοηθήσει τη δεδομένη στιγμή.

Ο κίνδυνος πλέον υπάρχει και οι επιπτώσεις του είναι εξαιρετικά σημαντικές. Χαρακτηριστικά παραδείγματα των προαναφερόμενων είναι οι παρακάτω περιπτώσεις.

Περίπτωση 1η:

Εταιρεία e-shop ανακάλυψε ασυνήθιστη κίνηση στον server της και μετά από έρευνα προέκυψε ότι είχαν κλαπεί οι κωδικοί υπαλλήλου, με αποτέλεσμα hackers να κλέψουν προσωπικά δεδομένα άνω των 50.000 πελατών της. Άμεσα ενεργοποιήθηκε το ασφαλιστήριο συμβόλαιο και το πλάνο αντιμετώπισης κρίσεων της επιχείρησης, προκειμένου να περιοριστεί το γεγονός και να προστατευτούν τα δεδομένα των πελατών της. Τα έξοδα ελέγχου των συστημάτων, ενημέρωσης των πελατών της και forensic accounting services άγγιξαν το 1 εκατ. ευρώ. Πρόκειται για ποσό που αποζημιώθηκε πλήρως.

Περίπτωση 2η:

Εταιρεία μέσων ενημέρωσης έπεσε θύμα επίθεσης στον κυβερνοχώρο από hackers από χώρα εκτός των συνόρων δραστηριότητάς της, η οποία προκάλεσε εκτεταμένη διακοπή λειτουργίας. Η εταιρεία έπρεπε άμεσα να εξασφαλίσει την ασφάλεια του δικτύου της και να ενημερώσει τους πελάτες της για το γεγονός παραβίασης. Παράλληλα, όφειλε να συνεργαστεί με τις αρμόδιες αρχές προστασίας προσωπικών δεδομένων και να αντιμετωπίσει τις έρευνες των αρχών αλλά και την κρίση στην εταιρική της φήμη. Η συγκεκριμένη εταιρεία διέθετε ασφαλιστήριο συμβόλαιο με όριο 60.000.000 ευρώ, το οποίο ενεργοποιήθηκε για την κάλυψη των πρόσθετων εξόδων των ειδικών συμβούλων για την αντιμετώπιση της κρίσης, της απώλειας κερδών από την παρατεταμένη διακοπή λειτουργίας του συστήματος, αλλά και των ευθυνών από τη διαρροή των δεδομένων.

Περίπτωση 3η:

Μεσαίου μεγέθους δικηγορική εταιρεία ανακάλυψε την Παραμονή των Χριστουγέννων ότι έπεσε θύμα κακόβουλου λογισμικού. Οι hackers ζήτησαν λύτρα σε bitcoins ύψους 25.000. Άμεσα κλήθηκαν τεχνικοί σύμβουλοι και εταιρεία παροχής υπηρεσιών forensic. Με δεδομένο το ότι δεν υπήρχε η δυνατότητα αντιμετώπισης του κακόβουλου λογισμικού και αποκρυπτογράφησής του, καθώς και ότι για την πλήρη επανάκτηση των αρχείων από το back up της εταιρείας χρειάζονταν πάνω από πέντε μέρες, αποφασίστηκε η πληρωμή των λύτρων. Παράλληλα, συνεχίστηκε η προσπάθεια εντοπισμού του ευάλωτου σημείου στο σύστημα της εταιρείας από το οποίο οι hackers εισχώρησαν σε αυτό, ενώ διερευνήθηκε και το ενδεχόμενο να υπήρξε διαρροή δεδομένων. Το εκτιμώμενο κόστος της ζημιάς ξεπέρασε τα 150.000 ευρώ.

Περίπτωση 4η:

Κέντρο Πρωτοβάθμιας Φροντίδας βρέθηκε αντιμέτωπο με αγωγή για αμέλεια και παραβίαση της ιδιωτικής ζωής όταν κατηγορήθηκε ότι υπάλληλός του με πρόσβαση στο ιατρικό ιστορικό της ενάγουσας το κοινοποίησε σε τρίτους. Η υπόθεση είναι ακόμη ανοικτή και αναμένεται να κλείσει στο ποσό των 250.000 ευρώ εξωδικαστικά, ενώ δεν αποκλείεται το Κέντρο να κληθεί να καταβάλει πρόστιμα στην Αρχή Προστασίας Προσωπικών Δεδομένων, εφόσον ήδη ξεκίνησαν οι σχετικές έρευνες για τις συνθήκες του συμβάντος.

Συμπερασματικά, είναι κρίσιμο όσο ποτέ άλλοτε να διασφαλίσουν οι επιχειρήσεις την ψηφιακή προστασία τους με κατάλληλες τεχνικές αποτίμησης και επιλεγμένους συνεργάτες.

Γράφει η Εύη Πετρουτσοπούλου, Specialty and Sales Executive, Marsh LTD

Το άρθρο δημοσιεύθηκε στην περιοδική έκδοση του Broker’s Time, τεύχος 49

Κοινοποιήστε το άρθροShare on FacebookShare on LinkedIn

Ειδήσεις από τα συνεργαζόμενα site

Insuranceworld.gr

Ροή ειδήσεων

Άποψη

Τα σεμινάρια μας

Δηλώστε συμμετοχή για ένα από τα επόμενα σεμινάρια

Θέμα: "Πως θα αυξήσουμε τις πωλήσεις μας προσεγγίζοντας νέες κατηγορίες πελατών"

Ημερομηνία διεξαγωγής

01/01/1970 /

Τόπος:

Εισηγητής /

Κόστος /

Θέμα:

Ημερομηνία διεξαγωγής

01/01/1970 /

Τόπος:

Εισηγητής /

Κόστος /

Τα νέα των ασφαλιστικών εταιριών

Τα νέα των συλλόγων

Αθήνα
Ένωση Ασφαλιστικών Πρακτόρων Κρήτης Σύνδεσμος Ασφαλιστικών Διαμεσολαβητών Χανίων Σύλλογος Διαμεσολαβούντων στην Ιδιωτική Ασφαλιση Δωδεκανήσου Ένωση επαγγελματιών ασφαλιστών Νοτιοδυτικής Ελλάδος Σύλλογος Διαμεσολαβητών Ασφαλειών Μαγνησίας Ένωση Ασφαλιστικών Πρακτόρων Κεντρικής Ελλάδος Ένωση Ασφαλιστικών Πρακτόρων & Ασφαλιστικών Συμβούλων Ν.Ιωαννίνων Σωματείο ασφαλιστικών Πρακτόρων Δυτικής Μακεδονίας Σύνδεσμος Διαμεσολαβούντων Ασφαλιστικών Εργασιών Σύνδεσμος Ανεξάρτητων Ασφαλιστικών Διαμεσολαβητών Ν.Σερρών Ένωση Ασφαλιστικών Διαμεσολαβητών Περιφερειακής Ενότητας Καβάλας
Αθήνα