Άρθρο της κ. Εύης Πετρουτσοπούλου που δημοσιεύτηκε στο Broker’s Time 49*
* Η κ. Πετρουτσοπούλου είναι Specialty and Sales Executive, Marsh LTD
Ή ανάπτυξη των ηλεκτρονικών συστημάτων αποτελεί ένα σημαντικό εργαλείο για τη λειτουργία και την εξέλιξη των επιχειρήσεων. Ωστόσο, η εξάρτηση του σύγχρονου επιχειρείν από τα ηλεκτρονικά συστήματα και η ευρεία διάδοση του διαδικτύου έχουν δημιουργήσει νέες απειλές, με σημαντικές οικονομικές επιπτώσεις στην επιχείρηση.
Για πολλούς οργανισμούς, οι τελευταίες εβδομάδες έφεραν στην επιφάνεια μια νέα πραγματικότητα. Αναφερόμαστε, ασφαλώς, στην πρόσφατη επίθεση στον κυβερνοχώρο με το ”Wannacry”. Ένα σαφές μήνυμα που πήραμε με το ”Wannacry”, καθώς κοιτάζουμε πλέον να αποτρέψουμε μια επόμενη «πανδημία» στον κυβερνοχώρο, είναι το πόσο ευάλωτες μπορεί να είναι οι επιχειρήσεις σε σχέση με αυτό που νομίζαμε στο παρελθόν. Μεγαλύτερη διασύνδεση και πολυπλοκότητα ανάμεσα στα δίκτυα πληροφορικής αυξάνει τον κίνδυνο δυσλειτουργίας, αλλά και γρήγορης διάδοσης. Η ασφάλεια της πληροφορίας -Εμπιστευτικότητα (Confidentiality), Ακεραιότητα (Integrity), Διαθεσιμότητα (Availability)- είναι πιο ευάλωτη από ποτέ, τόσο από μια κακόβουλη επίθεση όσο και από ένα τυχαίο γεγονός.
Είναι αντιληπτό ότι η επίτευξη των στόχων μιας επιχείρησης σε μεγάλο βαθμό εξαρτάται από τη διασφάλιση της λειτουργίας των υποδομών τεχνολογίας. Ενώ όλες οι επιχειρήσεις είναι εκτεθειμένες στις νέες μορφές κινδύνων που πηγάζουν από τη χρήση των τεχνολογιών πληροφορικής, ελάχιστες έχουν προσπαθήσει να αποτιμήσουν τον κίνδυνο και τις οικονομικές επιπτώσεις μιας απειλής από τον κυβερνοχώρο.
Η επίτευξη της ασφάλειας των πληροφοριακών συστημάτων και η ορθή και έγκαιρη αντιμετώπιση των ηλεκτρονικών και διαδικτυακών κινδύνων απαιτεί τη συνεργασία όλων των στελεχών της επιχείρησης.
Δεν αρκεί μόνο να εντοπίσει κανείς τα τεχνικά θέματα, οι επιχειρήσεις θα πρέπει να εξετάσουν με βάση τα πρόσφατα «μαθήματα» του ”Wannacry”.
Το πρώτο βήμα για την κάθε επιχείρηση είναι η καταγραφή των βασικότερων απειλών, κακόβουλων ή μη, εσωτερικών -όπως όταν προέρχονται από το ίδιο το προσωπικό της επιχείρησης, από κλοπή ή απώλεια εγγράφων και εταιρικών ηλεκτρονικών συσκευών- ή εξωτερικών, από κακόβουλο λογισμικό μέσω Phishing, προμήθεια αναλωσίμων που έχουν μολυνθεί από ιούς, αστοχία συστημάτων ασφαλείας προμηθευτών κ.λπ. Στη συνέχεια, είναι απαραίτητος ο καθορισμός των κινδύνων που χρειάζεται να τεθούν σε προτεραιότητα.
Το επόμενο βήμα αφορά στον υπολογισμό της πιθανότητας και συχνότητας να συμβούν οι κίνδυνοι που έχουν εντοπιστεί, αλλά και των οικονομικών επιπτώσεων στην επιχείρηση, σε απώλεια πωλήσεων, πρόσθετα νομικά έξοδα και έξοδα ειδικών ΙΤ συμβούλων για την αντιμετώπιση του γεγονότος, πρόστιμα λόγω του νέου Ευρωπαϊκού Κανονισμού Προστασίας Δεδομένων (GDPR, πτώση της μετοχής).
Όταν ολοκληρωθεί η ανάλυση του κινδύνου και εντοπιστούν τα σημεία στις εταιρικές διαδικασίες ή στα συστήματα που μπορεί να επιτρέψουν να συμβεί μια παραβίαση, και υπολογιστούν οι οικονομικές συνέπειες, τότε η κάθε επιχείρηση με τη βοήθεια ειδικών συμβούλων θα είναι σε θέση:
Είναι γεγονός ότι τα στελέχη των επιχειρήσεων πρέπει να συνειδητοποιήσουν ότι μπορεί πολύ γρήγορα να βρεθούν αντιμέτωπα με ένα γεγονός παραβίασης. Επομένως, είναι σημαντικό να έχουν μεριμνήσει ώστε να έχουν τον κατάλληλο συνεργάτη δίπλα τους, ο οποίος θα τους βοηθήσει τη δεδομένη στιγμή.
Ο κίνδυνος πλέον υπάρχει και οι επιπτώσεις του είναι εξαιρετικά σημαντικές. Χαρακτηριστικά παραδείγματα των προαναφερόμενων είναι οι παρακάτω περιπτώσεις.
Περίπτωση 1η:
Εταιρεία e-shop ανακάλυψε ασυνήθιστη κίνηση στον server της και μετά από έρευνα προέκυψε ότι είχαν κλαπεί οι κωδικοί υπαλλήλου, με αποτέλεσμα hackers να κλέψουν προσωπικά δεδομένα άνω των 50.000 πελατών της. Άμεσα ενεργοποιήθηκε το ασφαλιστήριο συμβόλαιο και το πλάνο αντιμετώπισης κρίσεων της επιχείρησης, προκειμένου να περιοριστεί το γεγονός και να προστατευτούν τα δεδομένα των πελατών της. Τα έξοδα ελέγχου των συστημάτων, ενημέρωσης των πελατών της και forensic accounting services άγγιξαν το 1 εκατ. ευρώ. Πρόκειται για ποσό που αποζημιώθηκε πλήρως.
Περίπτωση 2η:
Εταιρεία μέσων ενημέρωσης έπεσε θύμα επίθεσης στον κυβερνοχώρο από hackers από χώρα εκτός των συνόρων δραστηριότητάς της, η οποία προκάλεσε εκτεταμένη διακοπή λειτουργίας. Η εταιρεία έπρεπε άμεσα να εξασφαλίσει την ασφάλεια του δικτύου της και να ενημερώσει τους πελάτες της για το γεγονός παραβίασης. Παράλληλα, όφειλε να συνεργαστεί με τις αρμόδιες αρχές προστασίας προσωπικών δεδομένων και να αντιμετωπίσει τις έρευνες των αρχών αλλά και την κρίση στην εταιρική της φήμη. Η συγκεκριμένη εταιρεία διέθετε ασφαλιστήριο συμβόλαιο με όριο 60.000.000 ευρώ, το οποίο ενεργοποιήθηκε για την κάλυψη των πρόσθετων εξόδων των ειδικών συμβούλων για την αντιμετώπιση της κρίσης, της απώλειας κερδών από την παρατεταμένη διακοπή λειτουργίας του συστήματος, αλλά και των ευθυνών από τη διαρροή των δεδομένων.
Περίπτωση 3η:
Μεσαίου μεγέθους δικηγορική εταιρεία ανακάλυψε την Παραμονή των Χριστουγέννων ότι έπεσε θύμα κακόβουλου λογισμικού. Οι hackers ζήτησαν λύτρα σε bitcoins ύψους 25.000. Άμεσα κλήθηκαν τεχνικοί σύμβουλοι και εταιρεία παροχής υπηρεσιών forensic. Με δεδομένο το ότι δεν υπήρχε η δυνατότητα αντιμετώπισης του κακόβουλου λογισμικού και αποκρυπτογράφησής του, καθώς και ότι για την πλήρη επανάκτηση των αρχείων από το back up της εταιρείας χρειάζονταν πάνω από πέντε μέρες, αποφασίστηκε η πληρωμή των λύτρων. Παράλληλα, συνεχίστηκε η προσπάθεια εντοπισμού του ευάλωτου σημείου στο σύστημα της εταιρείας από το οποίο οι hackers εισχώρησαν σε αυτό, ενώ διερευνήθηκε και το ενδεχόμενο να υπήρξε διαρροή δεδομένων. Το εκτιμώμενο κόστος της ζημιάς ξεπέρασε τα 150.000 ευρώ.
Περίπτωση 4η:
Κέντρο Πρωτοβάθμιας Φροντίδας βρέθηκε αντιμέτωπο με αγωγή για αμέλεια και παραβίαση της ιδιωτικής ζωής όταν κατηγορήθηκε ότι υπάλληλός του με πρόσβαση στο ιατρικό ιστορικό της ενάγουσας το κοινοποίησε σε τρίτους. Η υπόθεση είναι ακόμη ανοικτή και αναμένεται να κλείσει στο ποσό των 250.000 ευρώ εξωδικαστικά, ενώ δεν αποκλείεται το Κέντρο να κληθεί να καταβάλει πρόστιμα στην Αρχή Προστασίας Προσωπικών Δεδομένων, εφόσον ήδη ξεκίνησαν οι σχετικές έρευνες για τις συνθήκες του συμβάντος.
Συμπερασματικά, είναι κρίσιμο όσο ποτέ άλλοτε να διασφαλίσουν οι επιχειρήσεις την ψηφιακή προστασία τους με κατάλληλες τεχνικές αποτίμησης και επιλεγμένους συνεργάτες.