Του Γιάννη Γορανίτη
Οι κυβερνοαπειλές για τις σύγχρονες επιχειρήσεις και οργανισμούς γίνονται ολοένα και πιο σύνθετες και εξελιγμένες. Καθημερινά καταγράφονται πολυάριθμα κρούσματα επιθέσεων –από φαινομενικά απλά phishing e-mail, μέχρι συντονισμένες μαζικές επιθέσεις– οι οποίες συνιστούν προκλήσεις όχι μόνο για τους υπευθύνους ΙΤ των επιχειρήσεων, αλλά για τις διοικήσεις των εταιρειών. Όχι μόνο γιατί οι επιθέσεις αυτές επιφέρουν αυτονόητο κόστος, αλλά και γιατί πλήττουν τόσο την αξιοπιστία της επιχείρησης όσο και την εικόνα της προς τους πελάτες και τους συνεργάτες της.
Παρόλ' αυτά η πλειοψηφία των εγχώριων επιχειρήσεων δεν έχει αντιληφθεί πλήρως το μέγεθος και την επικινδυνότητα των κυβερνοαπειλών, ενώ ακόμη και όσες τους κατανοούν δεν λαμβάνουν όλα τα απαιτούμενα προληπτικά μέτρα προστασίας. Όλα αυτά τα επίκαιρα ζητήματα για τις σύγχρονες επιχειρήσεις ανέλυσε σε πρόσφατη επίσκεψή της στην Αθήνα η εξειδικευμένη σε θέματα κυβερνοασφάλειας Johnnie Konstantas.
Το Liberal είχε την ευκαιρία να παρακολουθήσει την ημερίδα για τους τρόπους με τους οποίους οι επιχειρήσεις μπορούν να προφυλαχθούν από τις κυβερνοεπιθέσεις, και να συζητήσει με την Sr Director Marketing του Enterprise Cybersecurity Group της Microsoft για τις τελευταίες τάσεις.
90% των επιθέσεων μέσω phishing
Η ελληνικής καταγωγής κ. Konstantas παρουσίασε τα πιο πρόσφατα δεδομένα για τις επιθέσεις, σύμφωνα με τα οποία το 90% των επιθέσεων πραγματοποιούνται με τη μέθοδο του phishing (ηλεκτρονικού «ψαρέματος»). Επισήμανε μάλιστα το γεγονός ότι η λογική των επιθέσεων δεν έχει διαφοροποιηθεί σημαντικά, αλλά πλέον εκδηλώνονται μέσω πιο περίπλοκων τακτικών και σε σαφώς ευρύτερη κλίμακα.
Προκειμένου οι εταιρίες και οι οργανισμοί να είναι σε θέση να αντιμετωπίζουν τις επιθέσεις, οφείλουν να βρίσκονται σε διαρκή εγρήγορση, ούτως ώστε να εντοπίζουν ύποπτες κινήσεις και να προστατεύουν αποτελεσματικά τα δεδομένα και τις εφαρμογές τους. Όπως χαρακτηριστικά ανέφερε η Johnnie Konstantas, τα εργαλεία είναι ήδη διαθέσιμα και είναι πια στο χέρι των υπευθύνων των επιχειρήσεων να τα αξιοποιήσουν.
Αναφέρθηκε ενδεικτικά σε συγκεκριμένες τεχνολογίες ασφαλείας (όπως το machine learning) και λύσεις της Microsoft που συνδράμουν στη θωράκιση μιας σύγχρονης εταιρείας ή οργανισμού: οι αξιολογήσεις ασφάλειας και ετοιμότητας, οι υπηρεσίες συμβουλευτικής, το ολοκληρωμένο portfolio εργαλείων ασφάλειας, η παράδοση και η διαχείριση των λειτουργιών και των υπηρεσιών αυτών και τέλος, η διαχείριση των ζητημάτων που ανακύπτουν από την επερχόμενη εφαρμογή του GDPR (ευρωπαϊκός κανονισμός για την προστασία των προσωπικών δεδομένων).
Συμβουλές κυβερνοασφάλειας για υπαλλήλους
«Καταλαβαίνω όσους ανησυχούν διαβάζοντας τους τίτλους σχετικά με τις ζημιές εκατομμυρίων που προκάλεσαν οι hackers, μόνο και μόνο επειδή κάποιος υπάλληλος έκανε κλικ στον λάθος σύνδεσμο ή όσους αισθάνονται ότι είναι πολύ εύκολο να πέσει η επιχείρησή τους θύμα κυβερνοπειρατείας», μας είπε η Johnnie Konstantas. «Κι όμως η λήψη των απαιτούμενων μέτρων δεν είναι τόσο δύσκολη υπόθεση. Το πρόβλημα συνήθως οφείλεται στο γεγονός της λανθασμένης εφαρμογής των μέτρων αυτών», συμπέρανε το πολύπειρο στέλεχος της Microsoft.
Γι' αυτό και οι επιτυχημένες επιθέσεις στον κυβερνοχώρο κινούνται σε τόσο υψηλό επίπεδο αναφορικά τόσο με τον όγκο των δεδομένων που υποκλέπτονται όσο και με το συνεπακόλουθο κόστος. Επειδή όμως τα ζητήματα ασφαλείας σε μια σύγχρονη επιχείρηση δεν εξαντλούνται στον CIO, αλλά διαχέονται σε όλα τα επίπεδα και τις κλίμακες ιεραρχίας, ζητήσαμε από την κ. Konstantas να μας υποδείξει συγκεκριμένα βήματα και tips τους υπαλλήλους, με στόχο την περαιτέρω μείωση των κινδύνων.
Αυτές είναι οι βασικές συμβουλές ασφαλείας που μοιράστηκε μαζί μας:
1. Αν εντοπίσετε οποιοδήποτε ύποπτο και ασυνήθιστο email, μην κάνετε κλικ στον σύνδεσμο. Επειδή όμως τα μηνύματα ηλεκτρονικού «ψαρέματος» δεν μοιάζουν πάντα ύποπτα, φροντίστε να επαληθεύσετε το περιεχόμενο του link περνώντας από πάνω του τον δείκτη του ποντικιού (χωρίς να κλικάρετε) ή πραγματοποιώντας μια αναζήτηση.
2. Όταν λάβετε την ειδοποίηση για τη διαθεσιμότητα μιας ενημέρωσης του λειτουργικού σας συστήματος ή της συσκευής, φροντίστε να την κάνετε το συντομότερο δυνατό.
3. Δεν θα πρέπει να αποθηκεύετε τα ονόματα χρήστη και τους κωδικούς πρόσβασης στον φάκελο των εισερχόμενων σας. Είναι το σημείο που ψάχνουν πρώτο οι χάκερ.
4. Όταν πρόκειται να ορίσετε κωδικούς πρόσβασης για τις επαγγελματικές εφαρμογές, φροντίστε να μην επιλέγετε τους ίδιους κωδικούς (ούτε καν παραλλαγές τους) με τα passwords σας για κοινωνικά δίκτυα, email, ebanking κλπ. Εάν αυτές οι εφαρμογές έχουν χακαριστεί ήδη, είναι πολύ πιθανό να κινδυνεύουν και τα δεδομένα και οι πόροι της εταιρείας σας.
5. Η αποστολή δεδομένων της επιχείρησης στο προσωπικό σας email δεν είναι και τόσο καλή ιδέα. Βεβαιωθείτε ότι γνωρίζετε την πολιτική της εταιρείας σχετικά με το ποια δεδομένα και στοιχεία είναι ευαίσθητα ή εμπιστευτικά.
