Οι επιχειρήσεις έχουν επενδύσει δισεκατομμύρια δολάρια σε τεχνολογίες και λογισμικά που υπόσχονται να κρατήσουν μακριά τις απειλές στον κυβερνοχώρο. Για παράδειγμα, οι συνολικές δαπάνες παγκοσμίως για λογισμικό εντοπισμού ιών ανέρχονται στα 3,77 δισ. δολάρια το 2019, σύμφωνα με την ομάδα έρευνας ARC.
Το λογισμικό αναμφίβολα διαδραματίζει σημαντικό ρόλο στην καταπολέμηση των ψηφιακών απειλών, αλλά άλλοι τομείς έχουν παραμεληθεί. Ηγετικά στελέχη επιχειρήσεων που συμμετείχαν στην έρευνα IBR της Grant Thornton αναφέρουν ότι η υπερβολική εξάρτηση από το λογισμικό είναι το πιο αδύναμο σημείο στη διαχείριση απειλών που σχετίζονται με τον κυβερνοχώρο και την ιδιωτική ζωή. Γενικά, ως ψηφιακές απειλές ορίζουμε εκείνες που παραβιάζουν την ασφάλεια στον κυβερνοχώρο και την ιδιωτικότητα των δεδομένων.
Προκειμένου οι επιχειρήσεις να αντιμετωπίσουν τις ψηφιακές απειλές, θα πρέπει να δράσουν άμεσα, βελτιώνοντας τις εξειδικευμένες ψηφιακές δεξιότητές τους και την ενημέρωση των εργαζομένων τους για την ασφάλεια στον κυβερνοχώρο. Παράλληλα, θα πρέπει να εξερευνήσουν εξειδικευμένες λύσεις ψηφιακής ασφάλειας.
Αυτό δεν σημαίνει πως πρέπει να σπαταλήσουν περισσότερα χρήματα. Σε πολλές περιπτώσεις, θα είναι σε θέση να μειώσουν τις δαπάνες λογισμικού ενισχύοντας παράλληλα τις δυνατότητες του προσωπικού και τις ασφαλιστικές τους προβλέψεις. Το ARC προβλέπει ότι τα έσοδα της αγοράς λογισμικού προστασίας από ιούς θα συρρικνωθούν σε -1,2% CAGR μέσα στα επόμενα πέντε χρόνια.
Οι εταιρείες μπορεί να διαθέτουν εξελιγμένο λογισμικό ασφάλειας, αλλά αυτό δε μπορεί να εμποδίσει το ανθρώπινο λάθος που κρύβεται πίσω από πολλές παραβιάσεις του κυβερνοχώρου. Άλλωστε, το ανθρώπινο δυναμικό είναι αυτό που απαντά σε ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) και εγκαθιστά μη εξουσιοδοτημένο λογισμικό.
Ωστόσο, οι επιχειρήσεις δαπανούν πολύ περισσότερα χρήματα στο λογισμικό για την ασφάλεια στον κυβερνοχώρο από ότι στην εκπαίδευση των εργαζομένων τους, επομένως δεν αποτελεί έκπληξη το γεγονός ότι θεωρούν την υπερβολική εξάρτηση από την τεχνολογία ως βασική αδυναμία στη διαχείριση του ψηφιακού κινδύνου.
Ο μόνος τρόπος αντιμετώπισης είναι η αύξηση της ευαισθητοποίησης όλων των εργαζομένων για την ασφάλεια στον κυβερνοχώρο. Αλλά πως; Εξάλλου, οι επιχειρήσεις χρησιμοποιούν εδώ και πολλά χρόνια webinars και υποχρεωτικά εκπαιδευτικά προγράμματα για την ασφάλεια στον κυβερνοχώρο, αλλά το ανθρώπινο λάθος εξακολουθεί να τους καθιστά ευάλωτους σε επιθέσεις. Μια νέα μορφή εκπαίδευσης είναι απαραίτητη.
Ο Χρήστος Μακεδόνας, Technology Risk Leader στην Grant Thornton στην Κύπρο αναφέρει ότι θα βοηθούσαν συντομότερες μορφές εκπαίδευσης. "Κανείς δεν έχει το χρόνο να παρακολουθήσει βίντεο διάρκειας μιας ώρας", λέει. "Θα πρέπει να συντομευθούν σε δύο λεπτά το πολύ. Απαραίτητες επίσης είναι και οι οπτικές υπενθυμίσεις - όπως banners και μηνύματα σε οθόνες - για να υπενθυμίζονται στους εργαζομένους οι ορθές πρακτικές.
"Οι επιχειρήσεις θα πρέπει στη συνέχεια να προσομοιώσουν τις απόπειρες "ηλεκτρονικούψαρέματος " (phishing) και οι εργαζόμενοι που ανταποκρίνονται σε αυτές μπορούν στη συνέχεια να λάβουν περαιτέρω εκπαίδευση. Βρήκαμε πως αυτά τα προγράμματα κατάρτισης είναι πολύ πιο επιτυχημένα από τα συμβατικά webinars.
Οι επιχειρήσεις πρέπει να αναγνωρίσουν τα σημεία στα οποία είναι ευάλωτες σε επιθέσεις στον κυβερνοχώρο και σε παραβιάσεις της συμμόρφωσης σχετικά με την προστασία των δεδομένων, πριν επενδύσουν σε λογισμικό προστασίας. Αυτό απαιτεί εξειδικευμένες δεξιότητες που οι περισσότερες επιχειρήσεις δεν έχουν.
"Οι επιχειρήσεις χρειάζονται ένα σύνολο δεξιοτήτων που σχετίζονται με την προστασία της ιδιωτικότητας, για να βοηθήσουν στη χαρτογράφηση των δεδομένων τους και να κατανοήσουν τις ρυθμιστικές απαιτήσεις– ειδικά σε ένα περιβάλλον cloud", λέει ο Mike Harris, Partner του τμήματος Cyber Security Services στην Grant Thornton στην Ιρλανδία. "Χρειάζονται επίσης τεχνολογικές δεξιότητες γύρω από τις τεχνολογίες που χρησιμοποιούν".
"Για παράδειγμα, εάν χρησιμοποιείτε υπηρεσίες cloud που παρέχονται από την Amazon ή τη Microsoft (Azure), πρέπει να υπάρχουν οι δεξιότητες ασφαλείας στην εταιρεία για να γνωρίζετε τι θα κάνουν και τι όχι σχετικά με την ασφάλεια στον κυβερνοχώρο. Αυτή η συνιστώσα δεξιοτήτων παραβλέπεται συχνά".
Πολλές επιχειρήσεις έχουν επενδύσει σημαντικά σε προηγμένες τεχνολογίες ασφάλειας στον κυβερνοχώρο, οι οποίες βοηθούν στον εντοπισμό νέων απειλών και τρωτών σημείων.Αυτές όμως είναι τόσο αποτελεσματικές όσο το εργατικό δυναμικό που μπορεί να ερμηνεύσει τα αποτελέσματά τους και να εφαρμόσει τις αντίστοιχες αλλαγές.
"Πολλοί άνθρωποι βλέπουν την τεχνολογία ως μια ασημένια σφαίρα, ωστόσο δεν είναι," λέει ο James Arthur, Partner και Επικεφαλής στην παροχή συμβουλών στον κυβερνοχώρο στην Grant Thornton. "Πολλές εταιρείες δαπανούν πολλά χρήματα για λογισμικό κυβερνο- ασφάλειας που βασίζεται στην Τεχνητή Νοημοσύνη, σε συμπεριφορικά αναλυτικά στοιχεία, τα οποία μπορεί να είναι πραγματικά χρήσιμα σε ορισμένες περιπτώσεις, ωστόσο κανονικά πρέπει να ξοδέψει κανείς αλόγιστο ανθρώπινο χρόνο για να εξασφαλίσει πως θα προσφέρουν χρήσιμες γνώσεις. Στη συνέχεια, χρειάζεται ένας άνθρωπος στο τέλος αυτής της αλυσίδας που θα μπορεί να εξετάσει τα παραγόμενα στοιχεία και να εφαρμόσει τις αλλαγές. "
"Υπάρχουν μόνο δύο τύποι εταιρειών: εκείνες που έχουν “χακαριστεί” και εκείνες που θα “χακαριστούν” στο μέλλον. Μάλιστα, κανείς θα ισχυρίζονταν πως μπορούμε να τις συμπτύξουμε και σε μια κατηγορία, δηλαδή σε εταιρείες που έχουν “χακαριστεί” και που θα “χακαριστούν” ξανά". Τάδε έφη Robert Mueller το 2012 και το μήνυμα του πρώην διευθυντή του FBI δεν θα μπορούσε να είναι πιο σαφές και επίκαιρο.
Αναλυτικότερα, η ψηφιακή παραβίαση (hacking) μιας επιχείρησης είναι αναπόφευκτη. Συνεπώς δημιουργείται μια μεγάλη ευκαιρία για επενδύσεις στην ασφάλιση για τον μετριασμό των επιθέσεων στον κυβερνοχώρο, και όχι απλώς στο λογισμικό για την πρόληψή τους.
"Οποιοδήποτε φυσιολογικό πρόγραμμα διαχείρισης ψηφιακού κινδύνου πρέπει να περιέχει στοιχεία ανίχνευσης, απόκρισης και ασφάλισης, διότι στον κυβερνοχώρο συμβαίνουν διάφορα", λέει ο Mike Harris. "Βλέπουμε αυξημένη υιοθέτηση της ασφάλισης που καλύπτει τόσο τις επιθέσεις στον κυβερνοχώρο όσο και τις παραβιάσεις κανονιστικών ρυθμίσεων σχετικά με την ιδιωτική ζωή (privacy). Ενώ όμως είναι επιτακτική και η χρήση της αυξάνεται, η πλειοψηφία των επιχειρήσεων εξακολουθεί να μην έχει αυτό το είδος ασφάλισης. "
Οι επιχειρήσεις ενδέχεται να υποθέτουν πως η γενική ασφάλειά τους, καλύπτει επιθέσεις στον κυβερνοχώρο, αλλά μάλλον θα πρέπει να αντιμετωπίσουν μια δυσάρεστη έκπληξη. Για παράδειγμα, ο ασφαλιστής Hiscox αμφισβητεί επί του παρόντος μια αξίωση από τη δικηγορική εταιρεία DLA Piper - που πιθανόν να είναι αρκετά εκατομμύρια λίρες - με βάση το ότι δεν διέθετε συγκεκριμένη κυβερνo-πολιτική.
Όμως ακόμη και οι επιχειρήσεις που διαθέτουν ασφάλιση στον κυβερνοχώρο δεν μπορούν να επαναπαυθούν. Οι ασφαλιστές ενδέχεται να αρνηθούν να τις αποζημιώσουν εάν θεωρούν ότι η επίθεση αποτελέι πράξη “πολέμου”, η οποία θα μπορούσε να έχει υποστηριχθεί από κρατικούς φορείς.
"Η ασφάλιση είναι μεν αρκετή, αλλά πολλά κρύβονται στις λεπτομέρειες", εξηγεί ο James Arthur. "Έχουμε δει ασφαλιστές να προσπαθούν να αμφισβητήσουν την πληρωμή για επιθέσεις, επειδή η επίθεση έχει εντοπιστεί να προέρχεται από μια ομάδα υποστηριζόμενη από κράτος". Πολλά προγράμματα κακόβουλου λογισμικού σχετίζονται με δραστηριότητες που υποστηρίζονται από κράτη, οπότε οι επιχειρήσεις πρέπει πραγματικά να δώσουν προσοχή στις λεπτομέρειες.
Επιπλέον, οι πολιτικές του κυβερνοχώρου μπορεί να περιέχουν διατάξεις που απαιτούν από τις επιχειρήσεις να εγκαθιστούν συχνά ενημερώσεις και διορθώσεις. Εάν αυτό δεν πραγματοποιείται σε τακτική βάση από το χρήστη, οι ασφαλιστές μπορούν να μην πληρώσουν σε περίπτωση κάποιου συμβάντος.
"Ορισμένες πολιτικές απαιτούν από τις επιχειρήσεις να διατηρούν ενημερωμένη τη διαχείριση των ενημερώσεων ασφαλείας τους πολύ πιο συχνά από ό,τι συνηθίζουν - ή θα ήθελαν, λόγω της αναστάτωσης που μπορεί να προκαλέσει", προσθέτει ο Arthur.
Συνεπώς, οι επιχειρήσεις πρέπει να εξετάσουν έγκαιρα τις λεπτομέρειες της ασφάλειάς τους στον κυβερνοχώρο για να βεβαιωθούν ότι καλύπτονται και μπορούν να συμμορφωθούν με τις απαιτήσεις της.
Σύμφωνα με τα στοιχεία της έρευνας IBR της Grant Thornton, η πλειοψηφία των επιχειρήσεων θεωρεί πως παρά το γεγονός ότι η ασφάλιση έναντι ψηφιακού κινδύνου έχει αυξηθεί, η πολυπλοκότητα των ασφαλιστικών προσφορών παραμένει ίδια.
"Η ασφαλιστική αγορά για παραβιάσεις στον κυβερνοχώρο και τα δεδομένα δεν είναι σε καμία περίπτωση τόσο ώριμη όσο άλλες ασφαλιστικές αγορές", εξηγεί ο Χρήστος Μακεδόνας. "Οι ασφαλιστές προσπαθούν επί του παρόντος να αξιολογήσουν τους κινδύνους επειδή οι επιχειρήσεις έχουν διαφορετικές ευπάθειες. Δύο εταιρείες του ίδιου τομέα και του ίδιου μεγέθους ενδέχεται να έχουν διαφορετική κουλτούρα και να χρησιμοποιούν διαφορετικές τεχνολογίες, γεγονός που καθιστά πολύ δύσκολη την εκτίμηση του κινδύνου.
“Eίναι όμως πολύ σημαντικό για τις επιχειρήσεις να εξερευνήσουν αυτό το γεγονός και να συνεργαστούν με τους ασφαλιστές ώστε να εξελίξουν την αγορά προς το καλύτερο».
Οι συστάσεις αυτές πρέπει να εφαρμόζονται στο πλαίσιο των ειδικών περιβαλλόντων ψηφιακού κινδύνου των επιχειρήσεων, ώστε το πρώτο βήμα για τους επιχειρηματικούς ηγέτες να είναι η κατανόηση των συγκεκριμένων απειλών και ευπαθειώντους. Μόνο τότε θα μπορούν να εφαρμόσουν τις κατάλληλες τεχνολογίες, εκπαιδευτικές πρωτοβουλίες και ασφαλιστική κάλυψη.