Οι μέθοδοι των κυβερνοεπιθέσεων σε επιχειρήσεις και τα αιτήματα των χάκερ πίσω από αυτές, αναλύθηκαν κατά τη διάρκεια του φόρουμ Cyber Security Forum που πραγματοποιήθηκε πρόσφατα στο ξενοδοχείο Μεγάλη Βρετάνια. Ανάμεσα στα ζητήματα που εξετάστηκαν, ήταν και αυτό των αποζημιώσεων από τις κυβερνοεπιθέσεις.
Ο διευθυντής Πωλήσεων Εξειδικευμένων Υπηρεσιών και Πληροφοριών για Απειλές στην CrowdStrike, Τέο Σμπαρούνις, μιλώντας στο φόρουμ, υποστήριξε πως «υπάρχουν διαφορετικοί στόχοι. Παρακολουθώντας αυτούς που κάνουν hacking, βλέπουμε πολλές διαφορετικές νοοτροπίες σχετικά με το πώς λειτουργούν στον κυβερνοχώρο.
Ο βασικός τους στόχος με βάση αυτά που έχουμε δει, είναι να εξάγουν δεδομένα και να πάρουν τα πνευματικά δικαιώματα του εκάστοτε οργανισμού, τον οποίο στοχεύουν. Κάποιες φορές παρακολουθούμε κακόβουλους παράγοντες στον κυβερνοχώρο, που βρίσκονται στην περιοχή μας, στην κεντροανατολική Ευρώπη.
Θέλουν να πλήξουν το ταχύτερο δυνατό τον στόχο τους και δεν ενδιαφέρονται μόνο στο να καταρρεύσει ο στόχος τους με την επίθεση και να ζητήσουν λύτρα: Θέλουν να κάνουν και μεγάλη εντύπωση, να καταλάβει ο στόχος τους ότι έγινε η παραβίαση.
Σε περίπτωση που ο στόχος ενός κακόβουλου παράγοντα δεν πληρώσει τα λύτρα για να πάρει το κλειδί και να αποκωδικοποιήσει τα δεδομένα του ώστε να συνεχίσει τη λειτουργία του, τότε ο χάκερ εφαρμόζει μια άλλη τακτική και επικοινωνεί με τον οργανισμό που έχει πλήξει και τον απειλεί ότι, αφού δεν πληρώνει, θα κυκλοφορήσει τα δεδομένα του στο βαθύ ή στο σκοτεινό δίκτυο. Βλέπουμε ακτιβιστές, οι οποίοι κάνουν hacking και δρουν με πολιτικά κίνητρα.
Ο στόχος τους δεν είναι οπωσδήποτε να πλήξουν το περιβάλλον ή το στόχο κερδίζοντας χρήματα, περισσότερο θέλουν να καταρρεύσει ο ιστότοπος, να πέσει η υποδομή, να ανεβάσουν ό,τι θέλουν στη συγκεκριμένη ιστοσελίδα, αντί να λειτουργεί κανονικά».
Από την πλευρά του, ο Νικόλας Πέππας, CISO στη HelleniQ Energy Group, κατά τη διάρκεια της συζήτησης στο πάνελ, ανέφερε ότι «εδώ πρέπει να μας απασχολήσει τι σημαίνει ΔΣ, τι σημαίνει μέλος, γιατί είναι ένα κομμάτι των νομοθετημάτων που αφορούν την εταιρική διακυβέρνηση. Οφείλει να λειτουργήσει εκπροσωπώντας τα μέλη, τους μετόχους, τους εργαζόμενους, τους εμπλεκόμενους, τρίτα μέλη, παρόχους κτλ.. Πρέπει να λειτουργεί με στόχο ώστε να προάγει τη μακροχρόνια επιτυχία και τη βιωσιμότητα του οργανισμού, δηλαδή της εταιρείας.
Μιλώντας για τον κυβερνοχώρο και την κυβερνοασφάλεια, υπάρχει αυτός ο υπαρξιακός κίνδυνος, δηλαδή κάθε επιχείρηση υφίσταται αυτόν τον υπαρξιακό κίνδυνο. Η διοίκηση ή το ΔΣ, φέρουν την ευθύνη για θέματα κυβερνοσφάλειας σε οποιαδήποτε επιχείρηση, σε οποιοδήποτε οργανισμό.
Και εδώ λέμε, κάτι που λέει και η νομοθεσία και το κανονιστικό πλαίσιο, πως τα διοικητικά στελέχη, τα ανώτατα στελέχη, τα μέλη του ΔΣ, είναι υπεύθυνοι και υπόλογοι για θέματα κυβερνοασφάλειας. Τα μέλη του ΔΣ των οργανισμών/ επιχειρήσεων, αναμένεται να γνωρίζουν θέματα ιδιωτικότητας, να ξέρουν για βιωσιμότητα, για κυβερνοασφάλεια, για όλα τα καινούρια πράγματα.
Όμως δεν μπορείς να περιμένεις από τα μέλη ενός ΔΣ να ξέρει για όλα αυτά τα νέα πράγματα, κι εμείς προσπαθούμε να καλύψουμε αυτό το κενό. Ένας τρόπος είναι να κρατάς ανοιχτή γραμμή επικοινωνίας με τον CISO της εταιρείας.
Ο chief information security officer (CISO) είναι αυτός που καταρτίζει και ενημερώνει. Είναι ο ενδιάμεσος, εκείνος που διευκολύνει την εκπαίδευση και την ενημέρωση.
Διαθέτει εξειδικευμένα μέσα, δυνατότητες, βοηθάει στην ωριμότητα του οργανισμού. Είναι ένας τρόπος, για να καταλάβει και η διοίκηση ποιο είναι το διακύβευμα.
Προφανώς, δεν χρειάζεται να είναι σε θέση ο καθένας, να καταλάβει την κάθε λεπτομέρεια. Και μπορεί να ακούγεται εύκολο να έχεις μια ανοιχτή γραμμή επικοινωνίας, αλλά δεν είναι τόσο σύνηθες, τουλάχιστον στην Ελλάδα. Το περιβάλλον στο εξωτερικό είναι πιο ώριμο».
Μάλιστα, ο κ. Πέππας ανέλυσε λεπτομερώς τη διαφορά ανάμεσα στην κυβερνοασφάλεια και την κυβερνοανθεκτικότητα: «Ποιος είναι ο ορισμός, γιατί είναι μια λέξη που είναι της μόδας, αφού όλοι μιλάνε για ανθεκτικότητα, για λόγους μάρκετινγκ, τη σημερινή εποχή: Η κυβερνοανθεκτικότητα είναι η καθαρότητα ενός οργανισμού, η ικανότητα ενός οργανισμού να προσαρμοστεί, να αλλάξει, να απαντήσει σε ένα συμβάν ελαχιστοποιώντας τις επιπτώσεις επί του οργανισμού αυτού και συγχρόνως να βγει πιο ισχυρός μετά από μια κυβερνοαπειλή.
Η κυβερνοανθεκτικότητα είναι κάτι μεγαλύτερο από την κυβερνοασφάλεια. Η κυβερνοασφάλεια εξάλλου, ήταν πρόβλημα του ενός ή του άλλου τμήματος, η κυβερνοανθεκτικότητα αφορά όλον τον οργανισμό. Στην κυβερνοασφάλεια μιλάμε για απειλές, στην κυβερνοανθεκτικότητα μιλάμε για επιχειρηματικούς κινδύνους. Η κυβερνοασφάλεια μιλά για πρόληψη, η κυβερνοανθεκτικότητα μιλά για προετοιμασία. Άρα η κυβερνοανθεκτικότητα είναι θέμα κουλτούρας».
Η Λίντσεϊ Μπερ, Partner, Cyber Product Leader στην Paragon, αναφέρθηκε στο θέμα των αποζημιώσεων από κυβερνοεπιθέσεις. «Εγώ εργάζομαι στην αγορά του Λονδίνου. Οι εταιρίες πλήρωσαν περισσότερα σε αποζημιώσεις απ΄ ότι στα ασφάλιστρα. Αυτό σημαίνει ότι υπάρχουν πολλά χρήματα που δίνονται ως αποζημιώσεις και υπάρχουν ρήτρες. Δηλαδή η ζημία μπορεί να προκύψει από το website που έχει πρόβλημα ή μια παρέμβαση στο σύστημα που πρέπει να διερευνήσεις και να αποκαταστήσεις. Μπορεί ακόμα να είναι μια έρευνα των κανονιστικών αρχών.
Υπάρχουν δηλαδή πολλά πράγματα που μπορεί να οδηγήσουν σε μια ζημία. Και κάθε κατηγορία ζημίας μπορεί να είναι σημαντική, αλλά συλλογικά δείχνει ότι ασφαλίζεσαι και πληρώνεσαι.
Ωστόσο, στην κυβερνοασφάλιση υπάρχουν πολλές φορές προβλήματα, καθυστερήσεις, και πάλι είναι θέμα επικοινωνίας, γιατί πρέπει οι ασφαλισμένοι να αποδείξουν ότι υπέστησαν ζημία, πότε ανακαλύφθηκε ακριβώς το συμβάν, ποιο είναι το κόστος το οποίο προέκυψε, θα χρειάζονται κάποια δικαιολογητικά για να αξιολογηθούν σε σχέση με την κάλυψη που έχει αγοράσει ο ασφαλισμένος.
Άρα, όλοι νιώθουν άνετα σε σχέση με τις απαιτήσεις. Το βασικό πρόβλημα παραμένει η καθυστέρηση στην εκκαθάριση των ζημιών, στην αποζημίωση, ενώ πολλές φορές υπάρχουν και διαφυγόντα κέρδη. Επίσης, θέμα αποτελούν και τα μοντέλα εσόδων από την πλευρά του ασφαλισμένου αλλά και το πώς παρουσιάζονται αυτά στις ασφαλιστικές εταιρείες».
