Ορολογίες που αποτελούν ήδη μια νέα πραγματικότητα και που είναι συνυφασμένες με νέες τεχνολογικές καινοτομίες, οι οποίες έχουν σκοπό να βελτιώσουν και να κάνουν τη ζωή του ανθρώπου πιο άνετη.

Η νέα ψηφιακή επανάσταση που ζούμε σήμερα, φέρνει στην επιφάνεια την ανάγκη να σκεφτούμε εκ νέου την ασφάλεια των πληροφοριών και των πληροφοριακών συστημάτων.

Νέες προκλήσεις Οι αλλαγές που επιφέρουν οι εν λόγω τεχνολογίες δεν αφορούν μόνο τους καθημερινούς χρήστες ή τους οργανισμούς, αλλά και τους κακόβουλους χρήστες οι οποίοι, εκμεταλλευόμενοι τις νέες δυνατότητες που τους παρέχονται, αναπτύσσουν ολοένα και πιο εξελιγμένους τρόπους επιθέσεων. Σε αντίθεση με συνήθεις αντιλήψεις, οι επιθέσεις αυτές δεν περιορίζονται στον τραπεζικό και χρηματοπιστωτικό τομέα αλλά αποτελούν ένα πρόβλημα που μας αγγίζει όλους. Μερικοί από τους κύριους τομείς που επηρεάζονται άμεσα είναι της υγείας, της ναυτιλίας, της ενέργειας, κρίσιμες εθνικές υποδομές, κυβερνητικές υπηρεσίες, αλλά και οι μικρομεσαίες επιχειρήσεις.

Οι νομοθετικές αλλαγές σε ευρωπαϊκό και σε παγκόσμιο επίπεδο (π.χ. GDPR, HIPAA, NIS Directive και Cybersecurity Act), καθώς και τα διεθνή πρότυπα (π.χ. ISO 27001 και ISO 22301), ενθαρρύνουν τη διαρκή βελτίωση των δυνατοτήτων θωράκισης με στόχο την ασφάλεια των πληροφοριών και των πληροφοριακών συστημάτων στην εποχή της ραγδαίας ανάπτυξης και εισαγωγής νέων τεχνολογιών. Όμως, αυτό δεν είναι αρκετό για να καλύψει τις ανάγκες για ασφάλεια που δημιουργεί το συνεχώς μεταβαλλόμενο περιβάλλον.

Εντοπίζουμε λοιπόν, μια προσπάθεια εξεύρεσης νέων τρόπων αξιοποίησης των ανωτέρω τεχνολογιών, ώστε να διατηρηθεί η ισορροπία μεταξύ καινοτομίας και ρίσκου. Συγκεκριμένα, σε παγκόσμια έρευνα που διεξήγαγε η KPMG και η Oracle το 2019, το 53% των ερωτηθέντων δήλωσαν ότι χρησιμοποιούν ήδη τεχνολογίες Machine Learning σε κέντρα επιχειρήσεων ασφαλείας (Security Operation Centre), για τη διαχείριση του τεράστιου όγκου πιθανών επιθέσεων (Security Alerts & Security Events), εφαρμόζοντας ανάλυση δεδομένων (Data Analytics). Παράλληλα, νέες τεχνολογίες, όπως τα δίκτυα κινητής τηλεφωνίας 5ης γενιάς, λαμβάνουν υπόψη την ασφάλεια πληροφοριών από την αρχή του σχεδιασμού τους.

Αυτό έχει ως αποτέλεσμα μεγάλος αριθμός οργανισμών να σπεύδουν προς αγορά και αξιοποίηση νέων λύσεων που υπόσχονται τη μείωση ή και εξάλειψη πολλές φορές των ρίσκων, χωρίς όμως την ανάλογη επένδυση στην ομαλή ενσωμάτωση και αποδοτική αξιοποίησή τους, με απώτερο σκοπό τη βελτίωση του επιπέδου ασφαλείας. Αυτό, σε συνδυασμό με την «τυπική» προσπάθεια συμμόρφωσης με πρότυπα και νομοθεσίες που παρατηρείται σε πολλούς οργανισμούς, μπορεί να έχει αντίθετα αποτελέσματα από τα επιθυμητά, αφού δημιουργεί λανθασμένα την πεποίθηση ασφάλειας και αποπροσανατολίζει από θεμελιώδεις στόχους της ασφάλειας πληροφοριών.

Επενδύοντας στον ανθρώπινο παράγοντα Έρευνες του 2019 δείχνουν ότι η προτιμότερη οδός για κυβερνοεπιθέσεις είναι μέσω της κοινωνικής μηχανικής (social engineering), γεγονός το οποίο αποδεικνύει πως ο ανθρώπινος παράγοντας παραμένει ο αδύναμος κρίκος της κυβερνοάμυνας των οργανισμών. Το επίπεδο επίγνωσης των χρηστών σε σχέση με την ασφάλεια πληροφοριών και πληροφοριακών συστημάτων, αλλά και το επίπεδο ωριμότητας της κυβερνοασφάλειας σε έναν οργανισμό, είναι άρρηκτα συνδεδεμένα με την πιθανότητα μιας επιτυχούς κυβερνοεπίθεσης.

Η εφαρμογή των νέων τεχνολογιών στην κυβερνοασφάλεια (π.χ. Machine Learning, τεχνολογίες cloud), οι επενδύσεις σε νέα εργαλεία, οι προσπάθειες για συμμόρφωση με διεθνή πρότυπα και νομοθεσίες, δεν επαρκούν δίχως την ανάλογη επένδυση σε επιμόρφωση και εκπαίδευση του ανθρώπινου δυναμικού του οργανισμού. Παράλληλα, οι οργανισμοί χρειάζεται να επενδύσουν και σε ανθρώπινο δυναμικό εξειδικευμένο στην κυβερνοασφάλεια, προκειμένου να βελτιωθούν οι δυνατότητες αναγνώρισης απειλών. Αυτό μπορεί να ενισχυθεί από δράσεις όπως οι προσομοιώσεις επιθέσεων (Red Team Assessments), οι οποίες μπορούν να αξιολογήσουν το επίπεδο ετοιμότητας ενός οργανισμού να ανταποκριθεί σε κυβερνοεπιθέσεις.

Αναπτύσσοντας κουλτούρα ασφάλειας Το συνεχώς αυξανόμενο μέσο κόστος κυβερνοεπιθέσεων σε παγκόσμιο επίπεδο εκτιμάται πως ξεπέρασε τα €10 εκ. ανά οργανισμό για το περασμένο έτος. Αυτό δίνει περαιτέρω κίνητρο σε ακόμα περισσότερους οργανισμούς να επενδύσουν και να βελτιώσουν το επίπεδο κυβερνοασφάλειάς τους. Αξιοσημείωτο είναι το γεγονός ότι στην παγκόσμια έρευνα της KPMG «CEO Global Outlook» του 2019, αν και το 71% των ερωτηθέντων CEO δηλώνουν πως οι οργανισμοί τους αναδεικνύουν την κυβερνοασφάλεια ως πυλώνα στρατηγικής σημασίας και ανταγωνιστικού πλεονεκτήματος, πολύ λιγότεροι επενδύουν σε εξοπλισμό και εξειδικευμένο προσωπικό σε αυτό τον τομέα.

Αυτό που προτείνεται είναι να αναπτυχθεί μια κουλτούρα ασφάλειας μέσα από μια σειρά δράσεων.

Πρόκειται για δράσεις ήδη γνωστές, όπως ανάπτυξη στρατηγικής ασφάλειας, εσωτερικές εκπαιδεύσεις, ασκήσεις κυβερνοασφάλειας (π.χ. Penetration Tests, Vulnerability Assessments), εσωτερικές και εξωτερικές επιθεωρήσεις και αξιολογήσεις μέτρων και ρίσκων ασφαλείας, οι οποίες όμως πρέπει να διέπονται από έρευνα και ανάπτυξη σεναρίων γύρω από απειλές σχετικές με τον τομέα του εκάστοτε οργανισμού.

Οι οργανισμοί θα πρέπει να κατανοήσουν τον κίνδυνο και τις προκλήσεις στις οποίες πρέπει να ανταποκριθούν, προκειμένου να επιτευχθεί η βέλτιστη δυνατή ετοιμότητα αντιμετώπισης κρίσης. Αυτό θα προσφέρει μια ξεκάθαρη αντίληψη των αναγκών του οργανισμού, η οποία με τη σειρά της θα επιφέρει την ουσιαστική συμμόρφωση με νόμους και πρότυπα και θα βοηθήσει στην αξιοποίηση των διαθέσιμων, ανθρωπίνων και μη, πόρων.

Τέλος, στη σημερινή εποχή οι οργανισμοί, ξεκινώντας από την ηγεσία τους, επιβάλλεται να υιοθετήσουν ένα κοινό όραμα για την ανάπτυξη κουλτούρας κυβερνοασφάλειας. Στη συνέχεια, σε επιχειρησιακό επίπεδο, πρέπει να αναπτύξουν ένα πλαίσιο μέτρων για την προστασία ολόκληρου του λειτουργικού οικοσυστήματός τους. Ενσωματώνοντας καινοτόμες προσεγγίσεις και βαθιά τεχνογνωσία στον τομέα της κυβερνοασφάλειας, αναδεικνύεται η καταλυτική αξία του τομέα αυτού στο σύγχρονο επιχειρείν.

Φίλιππος Ραδίτσας, Manager Cyber, KPMG Limited, 22 209 000, [email protected]