Στη σημερινή εποχή της ψηφιακής τεχνολογίας, η κυβερνοασφάλεια έχει βρεθεί στο επίκεντρο των επιχειρήσεων: πώς θα οχυρώσουν τα δεδομένα τους, πώς θα προστατεύσουν την περιουσία τους, πώς θα θωρακίσουν τους πελάτες, αλλά και τη φήμη τους, ταυτόχρονα; Και, τελικά, πώς θα καταφέρουν να μετασχηματίσουν τον κίνδυνο σε ένα ανταγωνιστικό πλεονέκτημα;
Τις απαντήσεις σε αυτά τα ερωτήματα έδωσε νωρίτερα σήμερα ο κ. Παναγιώτης Παπαγιαννακόπουλος, Associate Partner και Επικεφαλής του τμήματος Cybersecurity, Data Protection & Privacy της ΕΥ Ελλάδος, κατά την ομιλία του στο Cyber Security & Data Protection Conference, που διοργάνωσε το Ελληνο-Αμερικανικό Εμπορικό Επιμελητήριο στο πλαίσιο της 83ης Διεθνούς Έκθεσης Θεσσαλονίκης.
Το τοπίο της κυβερνοασφάλειας σήμερα
Οι κυβερνοεπιθέσεις εξελίσσονται και μετασχηματίζονται διαρκώς, αναπτύσσοντας νέες τεχνικές και εργαλεία, προκειμένου να καταφέρουν να εισχωρήσουν στα «άδυτα» των επιχειρήσεων. «Μία από τις πιο σημαντικές τάσεις που είδαμε το 2017 και στις αρχές του 2018, είναι ότι ο τύπος των κυβερνοεπιθέσεων αλλάζει και απομακρύνεται, πλέον, από τη χρήση κακόβουλων εκτελέσιμων αρχείων προς άλλου τύπου malware. H απομάκρυνση αυτή σηματοδοτεί μία τεράστια αλλαγή στον τρόπο με τον οποίο πραγματοποιούνται οι κυβερνοεπιθέσεις, δημιουργώντας σοβαρό πρόβλημα για τις “παραδοσιακές” λύσεις κυβερνοασφάλειας, όπως είναι τα antivirus, που βασίζονται σε σημαντικό βαθμό στην ανάλυση εκτελέσιμων αρχείων (όπως αρχεία με κατάληξη .exe, .bat, .vbs, κτλ), προκειμένου να εντοπίσουν το κακόβουλο λογισμικό», τόνισε ο κ. Παπαγιαννακόπουλος. Είναι φανερό, επομένως, πως όσο εξελίσσεται η τεχνολογία, εξελίσσονται και οι κυβερνοεπιθέσεις. Κατ’ επέκταση, θα πρέπει να εξελιχθούν αντίστοιχα και οι μηχανισμοί ασφαλείας.
Ενώ οι κυβερνοεπιθέσεις γίνονται διαρκώς πιο περίπλοκες, τα διοικητικά συμβούλια των οργανισμών δε φαίνεται να έχουν συνειδητοποιήσει όσο θα έπρεπε τη σημασία της κυβερνοασφάλειας, σύμφωνα με τη 19η έκθεση της ΕΥ, Global Information Security Survey 2016-17. «Εντύπωση προκαλεί το γεγονός ότι το 75% των υπευθύνων κυβερνοασφάλειας δεν εκπροσωπούνται στο διοικητικό συμβούλιο του οργανισμού τους, ενώ μόλις το 38% των ερωτηθέντων δήλωσε ότι το διοικητικό συμβούλιό του γνωρίζει επαρκώς τα θέματα κυβερνοασφάλειας», ανέφερε ο κ. Παπαγιαννακόπουλος.
Κυβερνοασφάλεια: μια ευκαιρία για ανταγωνιστικό πλεονέκτημα
Οι νέες οδηγίες και κανονισμοί, όπως το GDPR και το NIS, στοχεύουν στην αύξηση της εμπιστοσύνης στον κυβερνοχώρο, αντιπροσωπεύοντας μια τάση των νομοθετών προς αυτήν την κατεύθυνση, αλλά και μια ευκαιρία για τους ίδιους τους οργανισμούς. Σύμφωνα με μελέτες, η αύξηση της εμπιστοσύνης οδηγεί σε αύξηση των πελατών, αλλά και της καλής υπόληψης του οργανισμού. «Επομένως, όσο πιο καλά οχυρωμένος είναι ένας οργανισμός έναντι των κυβερνοεπιθέσεων και όσο πιο ασφαλής θεωρείται, αλλά και όσο πιο οργανωμένος είναι για να αντιμετωπίσει τυχόν επιτυχημένες κυβερνοεπιθέσεις, τόσο μεγαλύτερη θα είναι η εμπιστοσύνη των πελατών σε αυτόν, δίνοντάς του ένα ανταγωνιστικό πλεονέκτημα», είπε ο κ. Παπαγιαννακόπουλος.
Στρατηγική και κυβερνοασφάλεια
Συχνά, τα στελέχη δε γνωρίζουν πόσο καλό μπορεί να κάνει η κυβερνοασφάλεια στην επιχείρησή τους, με τους προβληματισμούς για τον κίνδυνο, αλλά και το κόστος, να τα εμποδίζουν από την αναγνώριση της αξίας της κυβερνοασφάλειας ως ανταγωνιστικό πλεονέκτημα, συγκριτικά με μια διαφοροποίηση προϊόντος ή μια επιχειρηματική συμφωνία. «Την ώρα που, σύμφωνα με την έρευνα της ΕΥ, το 58% των καταναλωτών δηλώνει πως η παραβίαση της ασφάλειας θα τους αποθάρρυνε από τη μελλοντική συνεργασία με μια επιχείρηση, οι οργανισμοί πρέπει να καταλάβουν πως η απλή άμυνα ενάντια σε άγνωστες απειλές, πλέον, δεν είναι αρκετή. Οι κίνδυνοι εξελίσσονται και μεταλλάσσονται διαρκώς. Οι επιτυχημένοι οργανισμοί βρίσκονται σε ετοιμότητα, προλαμβάνουν όσες απειλές μπορούν, και αντιδρούν με οργανωμένο και αποτελεσματικό τρόπο σε τυχόν συμβάντα», σημείωσε ο κ. Παπαγιαννακόπουλος.
Πού πρέπει να εστιάσουν οι επικεφαλής των επιχειρήσεων;
Η σωστή θωράκιση ενός οργανισμού και η κατάλληλη προετοιμασία έναντι των κυβερνοαπειλών δεν είναι εύκολη και σίγουρα απαιτεί πόρους από τον ίδιο τον οργανισμό. Ωστόσο, υπάρχουν ορισμένα σημεία, στα οποία μπορούν να εστιάσουν τα στελέχη, προκειμένου να καταστήσουν τις επιχειρήσεις τους ασφαλείς:
- Το ανθρώπινο δυναμικό στο επίκεντρο: Η κυβερνοασφάλεια θα πρέπει να αποτελεί υπόθεση όλων, και όχι μόνο ενός ανθρώπου ή ενός τμήματος. Παράλληλα, συστήνεται η δημιουργία της θέσης ενός Επικεφαλής Ασφάλειας Πληροφοριών.
- Στρατηγική και καινοτομία: Η κυβερνοασφάλεια πρέπει να βρίσκεται στον «πυρήνα» της επιχειρηματικής στρατηγικής, ενώ οποιαδήποτε κίνηση ψηφιακής καινοτομίας θα πρέπει να περικλείει εξαρχής την κυβερνοασφάλεια.
- Εστίαση στον κίνδυνο: Απαιτείται η κατανόηση των τάσεων των διοικητικών συμβουλίων, αλλά και των νέων κανονισμών, τα οποία θα επηρεάσουν πώς πρέπει να εξελίσσεται η διαχείριση των κινδύνων στον κυβερνοχώρο.
- Γνώση και ευελιξία: Αναπτύσσοντας δεξιότητες για τη διαχείριση σύγχρονης πληροφόρησης εσωτερικά, οι οργανισμοί θα είναι σε θέση να αξιολογήσουν και να αντιμετωπίσουν τις μεγαλύτερες κυβερνοαπειλές.
- Ανθεκτικότητα: Οι οργανισμοί πρέπει να βρίσκονται σε θέση να επανακάμπτουν γρήγορα μετά από μια κυβερνοεπίθεση, κρατώντας, παράλληλα, τα ίδια επίπεδα ασφάλειας για το υπόλοιπο οικοσύστημά τους.
Κλείνοντας, ο κ. Παπαγιαννακόπουλος υπογράμμισε: «Όσο εξελίσσεται η τεχνολογία, άλλο τόσο εξελίσσονται και οι κυβερνοαπειλές, αλλά και τα εργαλεία για την προστασία των επιχειρήσεων. Οι οργανισμοί και οι επιχειρήσεις πρέπει να βρίσκονται διαρκώς σε ετοιμότητα και να μπορούν να διαβλέπουν τον κίνδυνο όταν αυτός πλησιάζει. Πράγματι, η κυβερνοασφάλεια είναι περίπλοκη, αλλά και αρκετά κοστοβόρα. Ωστόσο, πρέπει να τη δούμε σαν μία επένδυση για την επιχείρηση, η οποία μπορεί να αποφέρει ανάπτυξη και κέρδη, και όχι σαν άλλο ένα αναγκαίο έξοδο. Η σωστή θωράκιση μιας επιχείρησης απέναντι στους κινδύνους διασφαλίζει την ασφάλεια των πελατών και, κατ’ επέκταση, την υπόληψη της εταιρείας».
